FiXS Malware

Cyberprzestępcy atakują bankomaty w Meksyku za pomocą nowej odmiany złośliwego oprogramowania znanego jako FiXS, która umożliwia atakującym wypłacanie gotówki z zaatakowanych maszyn. To złośliwe oprogramowanie zostało wykorzystane w serii ataków, które rozpoczęły się w lutym 2023 r.

Według raportu ekspertów ds. bezpieczeństwa taktyka zastosowana w tych atakach jest podobna do tej zastosowanej w poprzednich atakach Ploutus, innego rodzaju szkodliwego oprogramowania bankomatowego, które od 2013 r. atakuje banki w Ameryce Łacińskiej. Zaktualizowana wersja Ploutus , która w szczególności atakuje bankomaty wyprodukowany przez brazylijskiego dostawcę Itautec, jest powszechny w Ameryce Łacińskiej od 2021 roku.

Złośliwe oprogramowanie FiXS właśnie zostało wycofane i obecnie atakuje meksykańskie banki. Po zainstalowaniu w bankomatach wykorzystuje zestaw protokołów i interfejsów API znanych jako CEN XFS, które umożliwiają cyberprzestępcom zaprogramowanie bankomatów w celu wypłaty gotówki za pomocą zewnętrznej klawiatury lub wiadomości SMS. Ten proces jest znany jako jackpotting. Warto zauważyć, że tego typu atak może spowodować znaczne straty finansowe zarówno dla banków, jak i ich klientów, a także wzbudzić obawy o bezpieczeństwo sieci bankomatów.

Łańcuch ataków złośliwego oprogramowania FiXS

Jedną z głównych cech szkodliwego oprogramowania FiXS jest to, że umożliwia ono cyberprzestępcy wypłatę gotówki z bankomatu 30 minut po ponownym uruchomieniu maszyny. Jednak przestępcy muszą mieć dostęp do bankomatu za pośrednictwem zewnętrznej klawiatury.

Szkodliwe oprogramowanie zawiera metadane w alfabecie rosyjskim lub cyrylicy, a łańcuch ataków rozpoczyna się od droppera złośliwego oprogramowania o nazwie „conhost.exe”. Ten dropper identyfikuje katalog tymczasowy systemu i przechowuje w nim ładunek szkodliwego oprogramowania FiXS ATM. Wbudowane złośliwe oprogramowanie jest następnie dekodowane za pomocą instrukcji XOR, przy czym klucz jest zmieniany w każdej pętli za pomocą funkcji decode_XOR_key(). Wreszcie złośliwe oprogramowanie FiXS ATM jest uruchamiane za pośrednictwem interfejsu API systemu Windows „ShellExecute”.

Złośliwe oprogramowanie wykorzystuje interfejsy API CEN XFS do interakcji z bankomatem, dzięki czemu jest kompatybilne z większością bankomatów opartych na systemie Windows przy minimalnych modyfikacjach. Cyberprzestępcy mogą używać zewnętrznej klawiatury do interakcji ze złośliwym oprogramowaniem, a mechanizmy przechwytujące przechwytują naciśnięcia klawiszy. W ciągu 30 minut po ponownym uruchomieniu bankomatu przestępcy mogą wykorzystać lukę w zabezpieczeniach systemu i użyć zewnętrznej klawiatury do „wyplucia pieniędzy” z bankomatu.

Naukowcy nie mają pewności co do pierwotnego wektora infekcji. Ponieważ jednak FiXS używa zewnętrznej klawiatury podobnej do Ploutus, uważa się, że stosuje podobną metodologię. Jeśli chodzi o Ploutus, osoba mająca fizyczny dostęp do bankomatu podłącza zewnętrzną klawiaturę do bankomatu w celu zainicjowania ataku.

Jackpotting jest nadal popularny wśród grup cyberprzestępczych

Ponieważ bankomaty pozostają kluczowym elementem systemu finansowego dla gospodarek opartych na gotówce, ataki złośliwego oprogramowania na te urządzenia są nadal powszechne. Dlatego tak ważne jest, aby instytucje finansowe i banki przewidywały potencjalne naruszenia bezpieczeństwa urządzeń i koncentrowały się na optymalizacji i ulepszaniu swoich reakcji na tego typu zagrożenia. Ataki te miały znaczący wpływ na różne regiony, w tym Amerykę Łacińską, Europę, Azję i Stany Zjednoczone.

Ryzyko związane z tymi atakami jest szczególnie wysokie w przypadku starszych modeli bankomatów, ponieważ są one trudne do naprawy lub wymiany i rzadko używają oprogramowania zabezpieczającego, aby zapobiec dalszemu pogorszeniu ich i tak już słabej wydajności.

Europejskie Stowarzyszenie na rzecz Bezpiecznych Transakcji zgłosiło w 2020 r. łącznie 202 udane ataki z jackpotem (złośliwe oprogramowanie bankomatowe i ataki logiczne) wymierzone w instytucje finansowe w UE, które spowodowały straty w wysokości 1,4 mln USD, czyli około 7 000 USD na atak, zgodnie z raportem z 2022 r. sporządzonym przez Bank Rezerwy Federalnej w Atlancie.