FiXS Malware

Сајбер-криминалци су гађали банкомате у Мексику са новом врстом злонамерног софтвера познатом као ФиКСС, која омогућава нападачима да издају готовину са циљаних машина. Овај малвер је коришћен у низу напада који су почели у фебруару 2023.

Према извештају стручњака за безбедност, тактика коришћена у овим нападима је слична оној која је коришћена у претходним нападима од стране Плоутуса, другог типа малвера за банкомате који је од 2013. циљао банке у Латинској Америци. Ажурирана верзија Плоутус- а, која посебно циља на банкомате коју производи бразилски продавац Итаутец, преовладава широм Латинске Америке од 2021.

ФиКСС малвер је управо изашао и тренутно утиче на мексичке банке. Једном инсталиран на банкоматима, користи предности пакета протокола и АПИ-ја познатих као ЦЕН КСФС, који омогућава сајбер криминалцима да програмирају банкомате да издају готовину, било преко спољне тастатуре или путем СМС порука. Овај процес је познат као џекпотовање. Важно је напоменути да ова врста напада може проузроковати значајне финансијске губитке како за банке тако и за њихове клијенте, као и за забринутост за сигурност мреже банкомата.

Ланац напада ФиКСС малвера

Једна од главних карактеристика злонамерног софтвера ФиКСС је та што омогућава претњи да изда готовину са банкомата 30 минута након што је машина поново покренута. Међутим, криминалци морају имати приступ банкомату преко екстерне тастатуре.

Злонамерни софтвер садржи метаподатке на руском или ћириличном писму, а ланац напада почиње са избацивачем малвера који се зове „цонхост.еке“. Овај дроппер идентификује привремени директоријум система и тамо складишти ФиКСС АТМ злонамерни софтвер. Уграђени малвер се затим декодира помоћу КСОР инструкције, при чему се кључ мења у свакој петљи преко функције децоде_КСОР_кеи(). Коначно, ФиКСС АТМ малвер се покреће преко Виндовс АПИ-ја „СхеллЕкецуте“.

Злонамерни софтвер користи ЦЕН КСФС АПИ-је за интеракцију са банкоматом, што га чини компатибилним са већином банкомата заснованих на Виндовс-у уз минимална подешавања. Сајбер криминалци могу да користе спољну тастатуру за интеракцију са малвером, а механизми за закачење пресрећу притиске на тастере. У року од 30 минута након поновног покретања банкомата, криминалци могу да искористе рањивост система и користе екстерну тастатуру да „испљуну новац“ са банкомата.

Истраживачи нису сигурни у вези са почетним вектором инфекције. Међутим, пошто ФиКСС користи екстерну тастатуру сличну Плоутусу, такође се верује да следи сличну методологију. Када је у питању Плоутус, особа са физичким приступом банкомату повезује екстерну тастатуру са банкоматом да би покренула напад.

Џекпоттинг је и даље популаран међу групама сајбер криминалаца

Како банкомати остају кључна компонента финансијског система за економије засноване на готовини, напади малвера који циљају ове уређаје и даље су преовлађујући. Стога је кључно за финансијске институције и банке да предвиде потенцијалне компромисе уређаја и да се концентришу на оптимизацију и побољшање својих одговора на ове врсте претњи. Ови напади су имали значајан утицај на различите регионе, укључујући Латинску Америку, Европу, Азију и Сједињене Државе.

Ризици повезани са овим нападима су посебно високи за старије моделе банкомата, јер су они изазовни за поправку или замену и ретко користе безбедносни софтвер како би спречили даљу деградацију њихових ионако лоших перформанси.

Европско удружење за безбедне трансакције пријавило је укупно 202 успешна напада џекпотинга (АТМ Малвер & Логицал Аттацкс) усмерених на финансијске институције у ЕУ у 2020. години, што је резултирало губицима од 1,4 милиона долара, или око 7.000 долара по нападу, према извештају из 2022. Банка федералних резерви Атланте.