FiXS Malware

साइबर अपराधीहरूले मेक्सिकोमा एटीएमहरूलाई FiXS भनेर चिनिने मालवेयरको नयाँ स्ट्रेनको साथ लक्षित गर्दै छन्, जसले आक्रमणकारीहरूलाई लक्षित मेसिनहरूबाट नगद वितरण गर्न अनुमति दिन्छ। यो मालवेयर फेब्रुअरी 2023 मा सुरु भएको आक्रमणको श्रृंखलामा प्रयोग गरिएको छ।

सुरक्षा विज्ञहरूको एक रिपोर्ट अनुसार, यी आक्रमणहरूमा प्रयोग गरिएका रणनीतिहरू Ploutus द्वारा अघिल्लो आक्रमणहरूमा प्रयोग गरिएका जस्तै छन्, अर्को प्रकारको ATM मालवेयर जसले 2013 देखि ल्याटिन अमेरिकी बैंकहरूलाई लक्षित गर्दै आएको छ। Ploutus को अपडेट गरिएको संस्करण, जसले विशेष गरी ATMहरूलाई लक्षित गर्दछ। ब्राजिलियन विक्रेता Itautec द्वारा उत्पादित, 2021 देखि ल्याटिन अमेरिका मा प्रचलित छ।

FiXS मालवेयर भर्खरै बाहिर छ र हाल मेक्सिकन बैंकहरूलाई असर गरिरहेको छ। एटीएममा स्थापना भएपछि, यसले CEN XFS भनेर चिनिने प्रोटोकल र APIs को सुइटको फाइदा लिन्छ, जसले साइबर अपराधीहरूलाई एटीएमहरूलाई नगद वितरण गर्न प्रोग्राम गर्न अनुमति दिन्छ, या त बाह्य किबोर्ड वा एसएमएस सन्देश मार्फत। यो प्रक्रिया ज्याकपोटिंग भनेर चिनिन्छ। यो उल्लेखनीय छ कि यस प्रकारको आक्रमणले बैंकहरू र तिनीहरूका ग्राहकहरू दुवैको लागि महत्त्वपूर्ण वित्तीय नोक्सान निम्त्याउन सक्छ, साथै एटीएम नेटवर्कहरूको सुरक्षामा चिन्ता बढाउन सक्छ।

FiXS मालवेयरको आक्रमण श्रृंखला

FiXS मालवेयरको मुख्य विशेषताहरू मध्ये एक यो हो कि यसले खतरा अभिनेतालाई मेसिन रिबुट भएको 30 मिनेट पछि ATM बाट नगद वितरण गर्न सक्षम बनाउँछ। यद्यपि, अपराधीहरूले बाह्य किबोर्ड मार्फत एटीएममा पहुँच गर्नुपर्दछ।

मालवेयरले रूसी वा सिरिलिक लिपिमा मेटाडेटा समावेश गर्दछ, र आक्रमण श्रृंखला 'conhost.exe' भनिने मालवेयर ड्रपरबाट सुरु हुन्छ। यो ड्रपरले प्रणालीको अस्थायी डाइरेक्टरी पहिचान गर्दछ र त्यहाँ FiXS ATM मालवेयर पेलोड भण्डारण गर्दछ। इम्बेडेड मालवेयरलाई XOR निर्देशनको साथ डिकोड गरिएको छ, कुञ्जीलाई decode_XOR_key() प्रकार्य मार्फत प्रत्येक लुपमा परिवर्तन गरिँदैछ। अन्तमा, FiXS ATM मालवेयर 'ShellExecute' Windows API मार्फत सुरु गरिएको छ।

मालवेयरले ATM सँग अन्तरक्रिया गर्न CEN XFS APIs प्रयोग गर्दछ, जसले यसलाई न्यूनतम समायोजनका साथ धेरै विन्डोज-आधारित ATM सँग उपयुक्त बनाउँछ। साइबर अपराधीहरूले मालवेयरसँग अन्तर्क्रिया गर्न बाह्य किबोर्ड प्रयोग गर्न सक्छन्, र हुकिङ मेकानिजमहरूले कीस्ट्रोकहरू रोक्छन्। एटीएम रिबुट भएको ३० मिनेट भित्रमा, अपराधीहरूले प्रणालीको कमजोरीको फाइदा उठाउन सक्छन् र एटीएमबाट 'पैसा थुक्न' बाह्य किबोर्ड प्रयोग गर्न सक्छन्।

अन्वेषकहरू संक्रमणको लागि प्रारम्भिक भेक्टरको बारेमा अनिश्चित छन्। यद्यपि, FiXS ले Ploutus जस्तै बाह्य किबोर्ड प्रयोग गरेको हुनाले, यो पनि उस्तै विधि पछ्याउने विश्वास गरिन्छ। जब यो Ploutus को लागी आउँछ, टेलर मेसिनमा भौतिक पहुँच भएको व्यक्तिले आक्रमण सुरु गर्न एटीएममा बाह्य किबोर्ड जडान गर्दछ।

ज्याकपोटिंग अझै पनि साइबर अपराधी समूहहरू बीच लोकप्रिय छ

एटीएमहरू नगद-आधारित अर्थतन्त्रहरूको लागि वित्तीय प्रणालीको महत्त्वपूर्ण घटक बनेको रूपमा, यी उपकरणहरूलाई लक्षित गर्ने मालवेयर आक्रमणहरू अझै प्रचलित छन्। तसर्थ, वित्तीय संस्थाहरू र बैंकहरूले सम्भावित यन्त्र सम्झौताहरू अनुमान गर्न र यी प्रकारका खतराहरूमा उनीहरूको प्रतिक्रियाहरूलाई अनुकूलन र सुधार गर्नमा ध्यान केन्द्रित गर्न महत्त्वपूर्ण छ। यी आक्रमणहरूले ल्याटिन अमेरिका, युरोप, एसिया र संयुक्त राज्य अमेरिकालगायत विभिन्न क्षेत्रहरूमा महत्त्वपूर्ण प्रभाव पारेको छ।

यी आक्रमणहरूसँग सम्बन्धित जोखिमहरू पुराना एटीएम मोडेलहरूका लागि विशेष रूपमा उच्च छन्, किनकि तिनीहरू मर्मत वा प्रतिस्थापन गर्न चुनौतीपूर्ण छन् र उनीहरूको पहिले नै खराब प्रदर्शनको थप गिरावटलाई रोक्न सुरक्षा सफ्टवेयर प्रयोग गर्न विरलै छन्।

सुरक्षित लेनदेनका लागि युरोपेली संघले २०२० मा EU मा वित्तीय संस्थाहरूलाई लक्षित गरी कुल २०२ सफल ज्याकपोटिंग आक्रमणहरू (ATM मालवेयर र तार्किक आक्रमणहरू) रिपोर्ट गरेको छ, जसको परिणामस्वरूप $१.४ मिलियन, वा प्रति आक्रमण $७,००० नोक्सान भएको छ, २०२२ को रिपोर्ट अनुसार। फेडरल रिजर्व बैंक अटलान्टा।