FiXS Malware

Kyberzločinci sa zamerali na bankomaty v Mexiku novým kmeňom malvéru známeho ako FiXS, ktorý útočníkom umožňuje vydávať hotovosť z cieľových zariadení. Tento malvér bol použitý v sérii útokov, ktoré sa začali vo februári 2023.

Podľa správy bezpečnostných expertov je taktika použitá pri týchto útokoch podobná taktike, ktorú použil pri predchádzajúcich útokoch Ploutus, ďalší typ ATM malvéru, ktorý sa zameriava na latinskoamerické banky od roku 2013. Aktualizovaná verzia Ploutus , ktorá sa špecificky zameriava na bankomaty vyrábaný brazílskym predajcom Itautec, prevláda v Latinskej Amerike od roku 2021.

Malvér FiXS je práve vonku a momentálne ovplyvňuje mexické banky. Po nainštalovaní do bankomatov využíva sadu protokolov a API známych ako CEN XFS, ktoré počítačovým zločincom umožňujú naprogramovať bankomaty na vydávanie hotovosti, buď prostredníctvom externej klávesnice, alebo prostredníctvom SMS správ. Tento proces je známy ako jackpoting. Je pozoruhodné, že tento typ útoku môže bankám aj ich zákazníkom spôsobiť značné finančné straty, ako aj vyvolať obavy o bezpečnosť sietí bankomatov.

Útočný reťazec malvéru FiXS

Jednou z hlavných vlastností malvéru FiXS je, že umožňuje aktérovi hrozby vydať hotovosť z bankomatu 30 minút po reštarte stroja. Zločinci však musia mať prístup k bankomatu cez externú klávesnicu.

Malvér obsahuje metadáta v ruskom alebo cyrilickom písme a reťaz útokov začína kvapkadlom malvéru s názvom „conhost.exe“. Toto kvapkadlo identifikuje dočasný adresár systému a ukladá tam malvér FiXS ATM. Vložený malvér je potom dekódovaný inštrukciou XOR, pričom kľúč sa mení v každej slučke pomocou funkcie decode_XOR_key(). Nakoniec sa malvér FiXS ATM spúšťa prostredníctvom rozhrania Windows API „ShellExecute“.

Malvér využíva CEN XFS API na interakciu s bankomatom, vďaka čomu je kompatibilný s väčšinou bankomatov so systémom Windows s minimálnymi úpravami. Kyberzločinci môžu na interakciu s malvérom použiť externú klávesnicu a hákové mechanizmy zachytávajú stlačenia klávesov. V priebehu 30 minút po reštarte bankomatu môžu zločinci využiť zraniteľnosť systému a pomocou externej klávesnice „vypľuť peniaze“ z bankomatu.

Výskumníci si nie sú istí počiatočným vektorom infekcie. Keďže však FiXS používa externú klávesnicu podobnú Ploutusu, predpokladá sa, že sa riadi podobnou metodikou. Pokiaľ ide o Ploutus, osoba s fyzickým prístupom k bankomatu pripojí externú klávesnicu k bankomatu, aby iniciovala útok.

Jackpoting je stále populárny medzi skupinami kyberzločincov

Keďže bankomaty zostávajú kľúčovou súčasťou finančného systému ekonomík založených na hotovosti, stále prevládajú malvérové útoky zamerané na tieto zariadenia. Preto je kľúčové, aby finančné inštitúcie a banky predvídali potenciálne kompromisy zariadení a sústredili sa na optimalizáciu a zlepšenie svojich reakcií na tieto typy hrozieb. Tieto útoky mali významný vplyv na rôzne regióny vrátane Latinskej Ameriky, Európy, Ázie a Spojených štátov.

Riziká spojené s týmito útokmi sú obzvlášť vysoké pri starších modeloch bankomatov, pretože ich oprava alebo výmena je náročná a zriedkavo sa používa bezpečnostný softvér, aby sa zabránilo ďalšiemu zhoršovaniu ich už aj tak slabého výkonu.

Európska asociácia pre bezpečné transakcie oznámila v roku 2020 celkovo 202 úspešných jackpotových útokov (ATM Malware & Logical Attacks) zameraných na finančné inštitúcie v EÚ, čo viedlo k stratám vo výške 1,4 milióna USD alebo približne 7 000 USD na útok, uvádza správa z roku 2022. Federálna rezervná banka v Atlante.