FiXS Malware

Киберпреступники атаковали банкоматы в Мексике с помощью нового вида вредоносного ПО, известного как FiXS, которое позволяет злоумышленникам выдавать наличные с целевых машин. Это вредоносное ПО использовалось в серии атак, начавшихся в феврале 2023 года.

Согласно отчету экспертов по безопасности, тактика, используемая в этих атаках, аналогична тактике, используемой в предыдущих атаках Ploutus, другого типа вредоносного ПО для банкоматов, которое нацелено на латиноамериканские банки с 2013 года. Обновленная версия Ploutus , специально предназначенная для банкоматов. произведенный бразильским поставщиком Itautec, широко распространен в Латинской Америке с 2021 года.

Вредоносное ПО FiXS только что появилось и в настоящее время поражает мексиканские банки. После установки на банкоматы он использует набор протоколов и API, известный как CEN XFS, который позволяет киберпреступникам программировать банкоматы для выдачи наличных либо с помощью внешней клавиатуры, либо с помощью SMS-сообщений. Этот процесс известен как джекпоттинг. Примечательно, что такой тип атаки может привести к значительным финансовым потерям как для банков, так и для их клиентов, а также вызвать опасения по поводу безопасности сетей банкоматов.

Цепочка атак вредоносного ПО FiXS

Одной из основных особенностей вредоносного ПО FiXS является то, что оно позволяет злоумышленнику выдавать наличные в банкомате через 30 минут после его перезагрузки. Однако преступники должны иметь доступ к банкомату через внешнюю клавиатуру.

Вредонос содержит метаданные на русском языке или кириллице, а цепочка атак начинается с вредоносного дроппера под названием conhost.exe. Этот дроппер идентифицирует временный каталог системы и сохраняет в нем полезную нагрузку вредоносного ПО FiXS ATM. Затем встроенное вредоносное ПО декодируется с помощью инструкции XOR, при этом ключ меняется в каждом цикле с помощью функции decode_XOR_key(). Наконец, вредоносное ПО FiXS ATM запускается через Windows API ShellExecute.

Вредоносное ПО использует API-интерфейсы CEN XFS для взаимодействия с банкоматом, что делает его совместимым с большинством банкоматов на базе Windows с минимальными настройками. Киберпреступники могут использовать внешнюю клавиатуру для взаимодействия с вредоносным ПО, а механизмы перехвата перехватывают нажатия клавиш. В течение 30 минут после перезагрузки банкомата злоумышленники могут воспользоваться уязвимостью системы и с помощью внешней клавиатуры «выплюнуть деньги» из банкомата.

Исследователи не уверены в первоначальном переносчике инфекции. Однако, поскольку FiXS использует внешнюю клавиатуру, аналогичную Ploutus, считается, что он следует аналогичной методологии. Когда дело доходит до Ploutus, человек, имеющий физический доступ к банкомату, подключает внешнюю клавиатуру к банкомату, чтобы инициировать атаку.

Джекпоты по-прежнему популярны среди киберпреступников

Поскольку банкоматы остаются важнейшим компонентом финансовой системы экономики, основанной на наличных деньгах, атаки вредоносных программ, нацеленные на эти устройства, по-прежнему распространены. Поэтому для финансовых учреждений и банков крайне важно предвидеть потенциальные компрометации устройств и сосредоточиться на оптимизации и улучшении своих мер реагирования на эти типы угроз. Эти атаки оказали значительное влияние на различные регионы, включая Латинскую Америку, Европу, Азию и США.

Риски, связанные с этими атаками, особенно высоки для старых моделей банкоматов, поскольку их сложно отремонтировать или заменить, и редко используется программное обеспечение безопасности для предотвращения дальнейшего ухудшения их и без того низкой производительности.

Европейская ассоциация безопасных транзакций сообщила о 202 успешных джекпот-атаках (вредоносных программ и логических атак банкоматов), направленных на финансовые учреждения в ЕС в 2020 году, что привело к потерям в размере 1,4 миллиона долларов, или около 7000 долларов за атаку, согласно отчету за 2022 год. Федеральный резервный банк Атланты.