FiXS Malware

Kibernetski kriminalci napadajo bankomate v Mehiki z novo vrsto zlonamerne programske opreme, imenovano FiXS, ki napadalcem omogoča izdajo gotovine iz ciljnih avtomatov. Ta zlonamerna programska oprema je bila uporabljena v seriji napadov, ki so se začeli februarja 2023.

Po poročilu varnostnih strokovnjakov so taktike, uporabljene v teh napadih, podobne tistim, ki jih je v prejšnjih napadih uporabil Ploutus, druga vrsta zlonamerne programske opreme za bankomate, ki cilja na latinskoameriške banke od leta 2013. Posodobljena različica Ploutusa , ki posebej cilja na bankomate proizvaja brazilski prodajalec Itautec, od leta 2021 prevladuje v Latinski Ameriki.

Zlonamerna programska oprema FiXS je pravkar izšla in trenutno vpliva na mehiške banke. Ko je nameščen na bankomatih, izkorišča nabor protokolov in API-jev, znanih kot CEN XFS, ki kibernetskim kriminalcem omogočajo, da programirajo bankomate za izdajo gotovine, bodisi prek zunanje tipkovnice ali s sporočili SMS. Ta postopek je znan kot jackpotting. Omeniti velja, da lahko ta vrsta napada povzroči znatne finančne izgube tako bankam kot njihovim strankam ter povzroči zaskrbljenost glede varnosti omrežij bankomatov.

Veriga napadov zlonamerne programske opreme FiXS

Ena od glavnih značilnosti zlonamerne programske opreme FiXS je, da povzročitelju grožnje omogoča, da izda gotovino na bankomatu 30 minut po ponovnem zagonu naprave. Kriminalci pa morajo imeti dostop do bankomata prek zunanje tipkovnice.

Zlonamerna programska oprema vsebuje metapodatke v ruski ali cirilični pisavi, veriga napada pa se začne z zlonamerno programsko opremo, imenovano 'conhost.exe'. Ta kapalka identificira začasni imenik sistema in tam shrani škodljivo programsko opremo FiXS ATM. Vdelana zlonamerna programska oprema se nato dekodira z ukazom XOR, pri čemer se ključ spremeni v vsaki zanki prek funkcije decode_XOR_key(). Končno se zlonamerna programska oprema FiXS ATM zažene prek vmesnika Windows API 'ShellExecute'.

Zlonamerna programska oprema uporablja CEN XFS API za interakcijo z bankomatom, zaradi česar je združljiva z večino bankomatov, ki temeljijo na sistemu Windows, z minimalnimi prilagoditvami. Kibernetski kriminalci lahko uporabljajo zunanjo tipkovnico za interakcijo z zlonamerno programsko opremo, mehanizmi za pripenjanje pa prestrežejo pritiske tipk. V 30-minutnem oknu po ponovnem zagonu bankomata lahko kriminalci izkoristijo ranljivost sistema in uporabijo zunanjo tipkovnico za 'izpljuvanje denarja' iz bankomata.

Raziskovalci niso prepričani o začetnem prenašalcu okužbe. Ker pa FiXS uporablja zunanjo tipkovnico, podobno kot Ploutus, se domneva, da sledi podobni metodologiji. Ko gre za Ploutus, oseba s fizičnim dostopom do bankomata poveže zunanjo tipkovnico z bankomatom, da sproži napad.

Jackpotting je še vedno priljubljen med skupinami kibernetskega kriminala

Ker bankomati ostajajo ključna komponenta finančnega sistema za gospodarstva, ki temeljijo na gotovini, so napadi zlonamerne programske opreme, usmerjeni v te naprave, še vedno razširjeni. Zato je ključnega pomena, da finančne institucije in banke predvidijo morebitne ogroženosti naprav ter se osredotočijo na optimizacijo in izboljšanje svojih odzivov na te vrste groženj. Ti napadi so močno vplivali na različne regije, vključno z Latinsko Ameriko, Evropo, Azijo in Združenimi državami.

Tveganja, povezana s temi napadi, so še posebej visoka pri starejših modelih bankomatov, saj jih je težko popraviti ali zamenjati in le redko uporabljajo varnostno programsko opremo za preprečevanje nadaljnjega poslabšanja njihovega že tako slabega delovanja.

Evropsko združenje za varne transakcije je leta 2020 poročalo o skupaj 202 uspešnih napadih na jackpotting (zlonamerna programska oprema bankomatov in logični napadi), usmerjenih na finančne institucije v EU, kar je povzročilo izgube v višini 1,4 milijona dolarjev ali približno 7000 dolarjev na napad, glede na poročilo iz leta 2022 Federal Reserve Bank of Atlanta.