FiXS Malware
Cybercriminelen hebben zich gericht op geldautomaten in Mexico met een nieuwe soort malware, bekend als FiXS, waarmee aanvallers geld kunnen uitgeven aan de beoogde machines. Deze malware is gebruikt bij een reeks aanvallen die in februari 2023 zijn begonnen.
Volgens een rapport van beveiligingsexperts zijn de tactieken die bij deze aanvallen worden gebruikt, vergelijkbaar met die van eerdere aanvallen door Ploutus, een ander type ATM-malware dat zich sinds 2013 op Latijns-Amerikaanse banken richt. Een bijgewerkte versie van Ploutus , die zich specifiek richt op geldautomaten geproduceerd door de Braziliaanse leverancier Itautec, komt sinds 2021 veel voor in Latijns-Amerika.
De FiXS-malware is net uit en treft momenteel Mexicaanse banken. Eenmaal geïnstalleerd op de geldautomaten, maakt het gebruik van een reeks protocollen en API's die bekend staan als CEN XFS, waarmee cybercriminelen de geldautomaten kunnen programmeren om contant geld uit te geven, via een extern toetsenbord of via sms-berichten. Dit proces staat bekend als jackpotten. Het is opmerkelijk dat dit type aanval aanzienlijke financiële verliezen kan veroorzaken voor zowel de banken als hun klanten, en ook zorgen kan baren over de veiligheid van ATM-netwerken.
De aanvalsketen van de FiXS-malware
Een van de belangrijkste kenmerken van de FiXS-malware is dat de bedreigingsactor 30 minuten nadat de machine opnieuw is opgestart, geld uit de geldautomaat kan halen. Criminelen moeten wel toegang hebben tot de geldautomaat via een extern toetsenbord.
De malware bevat metadata in Russisch of Cyrillisch schrift en de aanvalsketen begint met een malware-dropper genaamd 'conhost.exe'. Deze dropper identificeert de tijdelijke directory van het systeem en slaat de FiXS ATM-malware-payload daar op. De ingebedde malware wordt vervolgens gedecodeerd met XOR-instructie, waarbij de sleutel in elke lus wordt gewijzigd via de functie decode_XOR_key(). Ten slotte wordt de FiXS ATM-malware gelanceerd via de 'ShellExecute' Windows API.
De malware gebruikt de CEN XFS API's om te communiceren met de geldautomaat, waardoor deze met minimale aanpassingen compatibel is met de meeste op Windows gebaseerde geldautomaten. Cybercriminelen kunnen een extern toetsenbord gebruiken om met de malware te communiceren en de hooking-mechanismen onderscheppen de toetsaanslagen. Binnen een tijdsbestek van 30 minuten nadat de geldautomaat opnieuw is opgestart, kunnen criminelen misbruik maken van de kwetsbaarheid van het systeem en het externe toetsenbord gebruiken om 'geld uit de geldautomaat te spugen'.
Onderzoekers zijn onzeker over de initiële vector voor infectie. Aangezien FiXS echter een extern toetsenbord gebruikt dat lijkt op Ploutus, wordt aangenomen dat het ook een vergelijkbare methodologie volgt. Als het om Ploutus gaat, verbindt een persoon met fysieke toegang tot de geldautomaat een extern toetsenbord met de geldautomaat om de aanval te starten.
Jackpotten is nog steeds populair onder cybercriminele groepen
Aangezien geldautomaten een cruciaal onderdeel blijven van het financiële systeem voor op contant geld gebaseerde economieën, komen malware-aanvallen op deze apparaten nog steeds veel voor. Daarom is het van cruciaal belang voor financiële instellingen en banken om te anticiperen op mogelijke apparaatcompromissen en zich te concentreren op het optimaliseren en verbeteren van hun reacties op dit soort bedreigingen. Deze aanvallen hebben een aanzienlijke impact gehad op verschillende regio's, waaronder Latijns-Amerika, Europa, Azië en de Verenigde Staten.
De risico's die aan deze aanvallen zijn verbonden, zijn bijzonder groot voor oudere ATM-modellen, omdat ze moeilijk te repareren of te vervangen zijn en zelden beveiligingssoftware gebruiken om verdere verslechtering van hun toch al slechte prestaties te voorkomen.
De European Association for Secure Transactions heeft in 2020 in totaal 202 succesvolle jackpotting-aanvallen (ATM Malware & Logical Attacks) gemeld die gericht waren op financiële instellingen in de EU. de Federal Reserve Bank van Atlanta.
