FiXS Malware

อาชญากรไซเบอร์กำหนดเป้าหมายตู้เอทีเอ็มในเม็กซิโกด้วยมัลแวร์สายพันธุ์ใหม่ที่เรียกว่า FiXS ซึ่งช่วยให้ผู้โจมตีสามารถจ่ายเงินสดจากเครื่องเป้าหมายได้ มัลแวร์นี้ถูกใช้ในการโจมตีหลายครั้งที่เริ่มขึ้นในเดือนกุมภาพันธ์ 2566

ตามรายงานของผู้เชี่ยวชาญด้านความปลอดภัย กลวิธีที่ใช้ในการโจมตีเหล่านี้คล้ายกับที่ใช้ในการโจมตีก่อนหน้านี้โดย Ploutus ซึ่งเป็นมัลแวร์ ATM อีกประเภทหนึ่งที่กำหนดเป้าหมายไปที่ธนาคารในละตินอเมริกาตั้งแต่ปี 2013 Ploutus เวอร์ชันอัปเดต ซึ่งกำหนดเป้าหมายไปที่ตู้ ATM โดยเฉพาะ ผลิตโดย Itautec ผู้จำหน่ายชาวบราซิล ซึ่งแพร่หลายไปทั่วละตินอเมริกาตั้งแต่ปี 2021

มัลแวร์ FiXS เพิ่งออกมาและกำลังส่งผลกระทบต่อธนาคารในเม็กซิโก เมื่อติดตั้งบนตู้ ATM แล้ว จะใช้ประโยชน์จากชุดโปรโตคอลและ API ที่รู้จักกันในชื่อ CEN XFS ซึ่งช่วยให้อาชญากรไซเบอร์สามารถตั้งโปรแกรมให้ตู้ ATM จ่ายเงินสดได้ ไม่ว่าจะผ่านทางแป้นพิมพ์ภายนอกหรือโดยการส่งข้อความ SMS กระบวนการนี้เรียกว่าแจ็คพอต เป็นที่น่าสังเกตว่าการโจมตีประเภทนี้อาจทำให้เกิดความสูญเสียทางการเงินอย่างมากสำหรับทั้งธนาคารและลูกค้า รวมถึงสร้างความกังวลเกี่ยวกับความปลอดภัยของเครือข่าย ATM

เครือข่ายการโจมตีของมัลแวร์ FiXS

หนึ่งในคุณสมบัติหลักของมัลแวร์ FiXS คือช่วยให้ผู้คุกคามสามารถจ่ายเงินสดจากตู้ ATM ได้ภายใน 30 นาทีหลังจากรีบูตเครื่อง อย่างไรก็ตาม อาชญากรต้องเข้าถึงตู้ ATM ผ่านแป้นพิมพ์ภายนอก

มัลแวร์ประกอบด้วยข้อมูลเมตาในสคริปต์รัสเซียหรือซีริลลิก และห่วงโซ่การโจมตีจะเริ่มต้นด้วย dropper ของมัลแวร์ที่เรียกว่า 'conhost.exe' ดรอปเปอร์นี้ระบุไดเร็กทอรีชั่วคราวของระบบและจัดเก็บเพย์โหลดมัลแวร์ FiXS ATM ไว้ที่นั่น จากนั้นมัลแวร์ที่แฝงตัวจะถูกถอดรหัสด้วยคำสั่ง XOR โดยคีย์จะถูกเปลี่ยนในทุกลูปผ่านฟังก์ชัน decode_XOR_key() ในที่สุด มัลแวร์ FiXS ATM ก็เปิดตัวผ่าน Windows API 'ShellExecute'

มัลแวร์ใช้ CEN XFS APIs เพื่อโต้ตอบกับเครื่อง ATM ซึ่งทำให้เข้ากันได้กับเครื่อง ATM ที่ใช้ Windows ส่วนใหญ่โดยมีการปรับค่าเพียงเล็กน้อย อาชญากรไซเบอร์สามารถใช้แป้นพิมพ์ภายนอกเพื่อโต้ตอบกับมัลแวร์ และกลไกการเชื่อมต่อจะขัดขวางการกดแป้นพิมพ์ อาชญากรสามารถใช้ประโยชน์จากช่องโหว่ของระบบและใช้แป้นพิมพ์ภายนอกเพื่อ "คายเงิน" จากตู้ ATM ภายในกรอบเวลา 30 นาทีหลังจากเปิดเครื่องใหม่

นักวิจัยไม่แน่ใจเกี่ยวกับเวกเตอร์เริ่มต้นของการติดเชื้อ อย่างไรก็ตาม เนื่องจาก FiXS ใช้แป้นพิมพ์ภายนอกที่คล้ายกับ Ploutus จึงเชื่อว่าเป็นไปตามวิธีการที่คล้ายกัน เมื่อพูดถึง Ploutus บุคคลที่สามารถเข้าถึงเครื่องถอนเงินได้จะเชื่อมต่อแป้นพิมพ์ภายนอกกับ ATM เพื่อเริ่มการโจมตี

Jackpotting ยังคงเป็นที่นิยมในกลุ่มอาชญากรไซเบอร์

เนื่องจากตู้เอทีเอ็มยังคงเป็นองค์ประกอบที่สำคัญของระบบการเงินสำหรับเศรษฐกิจที่ใช้เงินสด การโจมตีด้วยมัลแวร์ที่กำหนดเป้าหมายไปยังอุปกรณ์เหล่านี้จึงยังคงแพร่หลายอยู่ ดังนั้น จึงเป็นสิ่งสำคัญสำหรับสถาบันการเงินและธนาคารในการคาดคะเนอุปกรณ์ที่อาจเกิดขึ้น และมุ่งเน้นที่การเพิ่มประสิทธิภาพและปรับปรุงการตอบสนองต่อภัยคุกคามประเภทนี้ การโจมตีเหล่านี้ส่งผลกระทบอย่างมากต่อภูมิภาคต่างๆ รวมถึงละตินอเมริกา ยุโรป เอเชีย และสหรัฐอเมริกา

ความเสี่ยงที่เกี่ยวข้องกับการโจมตีเหล่านี้สูงเป็นพิเศษสำหรับเครื่อง ATM รุ่นเก่า เนื่องจากเป็นสิ่งที่ท้าทายในการซ่อมหรือเปลี่ยน และไม่ค่อยใช้ซอฟต์แวร์รักษาความปลอดภัยเพื่อป้องกันการลดประสิทธิภาพลงอีกจากประสิทธิภาพที่ย่ำแย่อยู่แล้ว

European Association for Secure Transactions ได้รายงานการโจมตีแจ็คพอตที่ประสบความสำเร็จทั้งหมด 202 ครั้ง (ATM Malware & Logical Attacks) ที่กำหนดเป้าหมายสถาบันการเงินในสหภาพยุโรปในปี 2020 ส่งผลให้สูญเสีย 1.4 ล้านดอลลาร์ หรือประมาณ 7,000 ดอลลาร์ต่อการโจมตีหนึ่งครั้ง ตามรายงานปี 2022 โดย ธนาคารกลางแห่งแอตแลนตา