FiXS Malware
Kriminelët kibernetikë kanë synuar ATM-të në Meksikë me një lloj të ri malware të njohur si FiXS, i cili lejon sulmuesit të shpërndajnë para nga makinat e synuara. Ky malware është përdorur në një seri sulmesh që filluan në shkurt 2023.
Sipas një raporti nga ekspertët e sigurisë, taktikat e përdorura në këto sulme janë të ngjashme me ato të përdorura në sulmet e mëparshme nga Ploutus, një lloj tjetër malware i ATM-ve që ka synuar bankat e Amerikës Latine që nga viti 2013. Një version i përditësuar i Ploutus , i cili synon në mënyrë specifike ATM-të prodhuar nga shitësi brazilian Itautec, ka qenë i përhapur në të gjithë Amerikën Latine që nga viti 2021.
Malware-i FiXS sapo ka dalë dhe aktualisht po prek bankat meksikane. Pasi të instalohet në ATM, ai përfiton nga një grup protokollesh dhe API-sh të njohura si CEN XFS, i cili lejon kriminelët kibernetikë të programojnë ATM-të për të shpërndarë para, qoftë nëpërmjet një tastierë të jashtme ose përmes mesazheve SMS. Ky proces njihet si jackpotting. Vlen të përmendet se ky lloj sulmi mund të shkaktojë humbje të konsiderueshme financiare si për bankat ashtu edhe për klientët e tyre, si dhe mund të ngrejë shqetësime për sigurinë e rrjeteve të ATM-ve.
Zinxhiri i Sulmit të Malware FiXS
Një nga veçoritë kryesore të malware FiXS është se ai i mundëson aktorit të kërcënimit të shpërndajë para nga ATM 30 minuta pasi makina është rindezur. Megjithatë, kriminelët duhet të kenë akses në ATM nëpërmjet një tastierë të jashtme.
Malware përmban meta të dhëna në shkrimin rus ose cirilik dhe zinxhiri i sulmit fillon me një pikatore malware të quajtur 'conhost.exe.' Ky pikatore identifikon drejtorinë e përkohshme të sistemit dhe ruan ngarkesën e malware të FiXS ATM atje. Malware-i i integruar më pas deshifrohet me udhëzim XOR, me çelësin që ndryshohet në çdo cikli nëpërmjet funksionit decode_XOR_key(). Më në fund, malware i ATM FiXS lëshohet përmes API-së së Windows 'ShellExecute'.
Malware përdor API-të CEN XFS për të bashkëvepruar me ATM-në, gjë që e bën atë të pajtueshëm me shumicën e ATM-ve të bazuara në Windows me rregullime minimale. Kriminelët kibernetikë mund të përdorin një tastierë të jashtme për të ndërvepruar me malware, dhe mekanizmat e fiksimit kapin goditjet e tastave. Brenda një dritareje 30-minutëshe pas rindezjes së ATM-së, kriminelët mund të përfitojnë nga dobësia e sistemit dhe të përdorin tastierën e jashtme për të 'pështyrë para' nga ATM.
Studiuesit nuk janë të sigurt për vektorin fillestar të infeksionit. Megjithatë, duke qenë se FiXS përdor një tastierë të jashtme të ngjashme me Ploutus, besohet gjithashtu se ndjek një metodologji të ngjashme. Kur bëhet fjalë për Ploutus, një person me akses fizik në makinën e bankomatit lidh një tastierë të jashtme me ATM për të inicuar sulmin.
Jackpotting është ende i popullarizuar në mesin e grupeve kriminale kibernetike
Meqenëse ATM-të mbeten një komponent thelbësor i sistemit financiar për ekonomitë e bazuara në para, sulmet e malware që synojnë këto pajisje janë ende të përhapura. Prandaj, është thelbësore që institucionet financiare dhe bankat të parashikojnë kompromise të mundshme të pajisjeve dhe të përqendrohen në optimizimin dhe përmirësimin e përgjigjeve të tyre ndaj këtyre llojeve të kërcënimeve. Këto sulme kanë pasur një ndikim të rëndësishëm në rajone të ndryshme, duke përfshirë Amerikën Latine, Evropën, Azinë dhe Shtetet e Bashkuara.
Rreziqet që lidhen me këto sulme janë veçanërisht të larta për modelet më të vjetra të ATM-ve, pasi ato janë sfiduese për të riparuar ose zëvendësuar dhe rrallë përdorin softuer sigurie për të parandaluar degradimin e mëtejshëm të performancës së tyre tashmë të dobët.
Shoqata Evropiane për Transaksione të Sigurta ka raportuar gjithsej 202 sulme të suksesshme jackpoting (ATM Malware & Logical Attacks) që synojnë institucionet financiare në BE në vitin 2020, duke rezultuar në humbje prej 1.4 milion dollarë, ose rreth 7,000 dollarë për sulm, sipas një raporti të vitit 2022 nga Banka e Rezervës Federale të Atlantës.
