FiXS Malware

Nettkriminelle har rettet mot minibanker i Mexico med en ny stamme av skadelig programvare kjent som FiXS, som lar angripere ta ut penger fra de målrettede maskinene. Denne skadevare har blitt brukt i en rekke angrep som startet i februar 2023.

I følge en rapport fra sikkerhetseksperter ligner taktikken som ble brukt i disse angrepene de som ble brukt i tidligere angrep av Ploutus, en annen type minibank-skadevare som har vært rettet mot latinamerikanske banker siden 2013. En oppdatert versjon av Ploutus , som spesifikt retter seg mot minibanker. produsert av den brasilianske leverandøren Itautec, har vært utbredt over hele Latin-Amerika siden 2021.

FiXS-malwaren er nettopp ute og påvirker for tiden meksikanske banker. Når den er installert på minibankene, drar den fordel av en pakke med protokoller og APIer kjent som CEN XFS, som lar nettkriminelle programmere minibankene til å ta ut kontanter, enten via et eksternt tastatur eller via SMS-meldinger. Denne prosessen er kjent som jackpotting. Det er bemerkelsesverdig at denne typen angrep kan føre til betydelige økonomiske tap for både bankene og deres kunder, samt skape bekymring for sikkerheten til minibanknettverk.

Angrepskjeden til FiXS Malware

En av hovedtrekkene til FiXS malware er at den gjør det mulig for trusselaktøren å ta ut penger fra minibanken 30 minutter etter at maskinen har blitt restartet. Kriminelle må imidlertid ha tilgang til minibanken via et eksternt tastatur.

Skadevaren inneholder metadata i russisk eller kyrillisk skrift, og angrepskjeden begynner med en skadevare-dropper kalt 'conhost.exe.' Denne dropperen identifiserer systemets midlertidige katalog og lagrer FiXS ATM-malware nyttelasten der. Den innebygde skadelige programvaren dekodes deretter med XOR-instruksjoner, og nøkkelen endres i hver sløyfe via funksjonen decode_XOR_key(). Til slutt lanseres FiXS ATM malware via 'ShellExecute' Windows API.

Skadevaren bruker CEN XFS API-er for å samhandle med minibanken, noe som gjør den kompatibel med de fleste Windows-baserte minibanker med minimale justeringer. Nettkriminelle kan bruke et eksternt tastatur for å samhandle med skadelig programvare, og hooking-mekanismene avskjærer tastetrykkene. Innen et 30-minutters vindu etter at minibanken har startet på nytt, kan kriminelle dra nytte av systemets sårbarhet og bruke det eksterne tastaturet til å "spytte ut penger" fra minibanken.

Forskere er usikre på den første vektoren for infeksjon. Men siden FiXS bruker et eksternt tastatur som ligner på Ploutus, antas det også å følge en lignende metodikk. Når det gjelder Ploutus, kobler en person med fysisk tilgang til kassaapparatet et eksternt tastatur til minibanken for å sette i gang angrepet.

Jackpotting er fortsatt populært blant nettkriminelle grupper

Siden minibanker fortsatt er en avgjørende komponent i det finansielle systemet for kontantbaserte økonomier, er det fortsatt utbredt angrep av skadelig programvare rettet mot disse enhetene. Derfor er det avgjørende for finansinstitusjoner og banker å forutse potensielle enhetskompromisser og konsentrere seg om å optimalisere og forbedre deres svar på denne typen trusler. Disse angrepene har hatt en betydelig innvirkning på ulike regioner, inkludert Latin-Amerika, Europa, Asia og USA.

Risikoen forbundet med disse angrepene er spesielt høye for eldre minibankmodeller, siden de er utfordrende å reparere eller erstatte og sjelden bruker sikkerhetsprogramvare for å forhindre ytterligere forringelse av deres allerede dårlige ytelse.

European Association for Secure Transactions har rapportert totalt 202 vellykkede jackpottingangrep (ATM Malware & Logical Attacks) rettet mot finansinstitusjoner i EU i 2020, noe som resulterte i tap på $1,4 millioner, eller rundt $7000 per angrep, ifølge en rapport fra 2022 av Federal Reserve Bank of Atlanta.