FiXS Malware
Penjenayah siber telah menyasarkan ATM di Mexico dengan jenis perisian hasad baharu yang dikenali sebagai FiXS, yang membolehkan penyerang mengeluarkan wang tunai daripada mesin yang disasarkan. Perisian hasad ini telah digunakan dalam beberapa siri serangan yang bermula pada Februari 2023.
Menurut laporan pakar keselamatan, taktik yang digunakan dalam serangan ini adalah serupa dengan yang digunakan dalam serangan sebelumnya oleh Ploutus, satu lagi jenis perisian hasad ATM yang telah menyasarkan bank-bank Amerika Latin sejak 2013. Versi terkini Ploutus , yang secara khusus menyasarkan ATM. dihasilkan oleh vendor Brazil Itautec, telah berleluasa di seluruh Amerika Latin sejak 2021.
Malware FiXS baru sahaja keluar dan sedang menjejaskan bank Mexico. Setelah dipasang pada ATM, ia mengambil kesempatan daripada suite protokol dan API yang dikenali sebagai CEN XFS, yang membolehkan penjenayah siber memprogramkan ATM untuk mengeluarkan wang tunai, sama ada melalui papan kekunci luaran atau melalui pemesejan SMS. Proses ini dikenali sebagai jackpot. Perlu diperhatikan bahawa jenis serangan ini boleh menyebabkan kerugian kewangan yang besar bagi kedua-dua bank dan pelanggan mereka, serta menimbulkan kebimbangan mengenai keselamatan rangkaian ATM.
Rantaian Serangan Perisian Hasad FiXS
Salah satu ciri utama perisian hasad FiXS ialah ia membolehkan pelaku ancaman mengeluarkan wang tunai daripada ATM 30 minit selepas mesin dibut semula. Walau bagaimanapun, penjenayah mesti mempunyai akses kepada ATM melalui papan kekunci luaran.
Malware mengandungi metadata dalam skrip Rusia atau Cyrillic, dan rantaian serangan bermula dengan penitis perisian hasad yang dipanggil 'conhost.exe.' Penitis ini mengenal pasti direktori sementara sistem dan menyimpan muatan perisian hasad FiXS ATM di sana. Perisian hasad terbenam kemudian dinyahkodkan dengan arahan XOR, dengan kunci ditukar dalam setiap gelung melalui fungsi decode_XOR_key(). Akhirnya, perisian hasad FiXS ATM dilancarkan melalui API Windows 'ShellExecute'.
Malware menggunakan API CEN XFS untuk berinteraksi dengan ATM, yang menjadikannya serasi dengan kebanyakan ATM berasaskan Windows dengan pelarasan minimum. Penjenayah siber boleh menggunakan papan kekunci luaran untuk berinteraksi dengan perisian hasad, dan mekanisme pengait memintas ketukan kekunci. Dalam tempoh 30 minit selepas ATM but semula, penjenayah boleh mengambil kesempatan daripada kelemahan sistem dan menggunakan papan kekunci luaran untuk 'memuntahkan wang' daripada ATM.
Penyelidik tidak pasti tentang vektor awal untuk jangkitan. Walau bagaimanapun, oleh kerana FiXS menggunakan papan kekunci luaran yang serupa dengan Ploutus, ia juga dipercayai mengikut metodologi yang serupa. Apabila bercakap tentang Ploutus, seseorang yang mempunyai akses fizikal ke mesin juruwang menyambungkan papan kekunci luaran ke ATM untuk memulakan serangan.
Jackpotting Masih Popular di kalangan Kumpulan Penjenayah Siber
Memandangkan ATM kekal sebagai komponen penting dalam sistem kewangan untuk ekonomi berasaskan tunai, serangan perisian hasad yang menyasarkan peranti ini masih berleluasa. Oleh itu, adalah penting bagi institusi kewangan dan bank untuk menjangkakan potensi kompromi peranti dan menumpukan perhatian pada pengoptimuman dan menambah baik tindak balas mereka terhadap jenis ancaman ini. Serangan-serangan ini telah memberi kesan yang ketara ke atas pelbagai wilayah, termasuk Amerika Latin, Eropah, Asia dan Amerika Syarikat.
Risiko yang dikaitkan dengan serangan ini amat tinggi untuk model ATM yang lebih lama, kerana mereka mencabar untuk membaiki atau menggantikan dan jarang menggunakan perisian keselamatan untuk mengelakkan kemerosotan selanjutnya prestasi mereka yang sudah lemah.
Persatuan Eropah untuk Urus Niaga Selamat telah melaporkan sejumlah 202 serangan jackpot yang berjaya (ATM Malware & Logical Attacks) yang menyasarkan institusi kewangan di EU pada 2020, mengakibatkan kerugian $1.4 juta, atau sekitar $7,000 setiap serangan, menurut laporan 2022 oleh Bank Rizab Persekutuan Atlanta.
