FiXS Malware

Tina-target ng mga cybercriminal ang mga ATM sa Mexico gamit ang bagong strain ng malware na kilala bilang FiXS, na nagpapahintulot sa mga attacker na magbigay ng pera mula sa mga naka-target na machine. Ginamit ang malware na ito sa isang serye ng mga pag-atake na nagsimula noong Pebrero 2023.

Ayon sa isang ulat ng mga eksperto sa seguridad, ang mga taktika na ginamit sa mga pag-atake na ito ay katulad ng mga ginamit sa mga nakaraang pag-atake ng Ploutus, isa pang uri ng ATM malware na nagta-target sa mga bangko sa Latin America mula noong 2013. Isang na-update na bersyon ng Ploutus , na partikular na nagta-target sa mga ATM na ginawa ng Brazilian vendor na si Itautec, ay naging laganap sa buong Latin America mula noong 2021.

Kakalabas lang ng FiXS malware at kasalukuyang nakakaapekto sa mga bangko sa Mexico. Kapag na-install na sa mga ATM, sinasamantala nito ang isang suite ng mga protocol at API na kilala bilang CEN XFS, na nagbibigay-daan sa mga cybercriminal na i-program ang mga ATM upang magbigay ng pera, alinman sa pamamagitan ng panlabas na keyboard o sa pamamagitan ng pagmemensahe ng SMS. Ang prosesong ito ay kilala bilang jackpotting. Kapansin-pansin na ang ganitong uri ng pag-atake ay maaaring magdulot ng malaking pagkalugi sa pananalapi para sa parehong mga bangko at kanilang mga customer, pati na rin magtaas ng mga alalahanin tungkol sa seguridad ng mga network ng ATM.

Ang Attack Chain ng FiXS Malware

Ang isa sa mga pangunahing tampok ng malware ng FiXS ay ang pagbibigay-daan sa banta ng aktor na magbigay ng pera mula sa ATM 30 minuto pagkatapos ma-reboot ang makina. Gayunpaman, ang mga kriminal ay dapat magkaroon ng access sa ATM sa pamamagitan ng panlabas na keyboard.

Ang malware ay naglalaman ng metadata sa Russian o Cyrillic script, at ang attack chain ay nagsisimula sa isang malware dropper na tinatawag na 'conhost.exe.' Tinutukoy ng dropper na ito ang pansamantalang direktoryo ng system at iniimbak doon ang FiXS ATM malware payload. Ang naka-embed na malware ay nade-decode gamit ang XOR na pagtuturo, na ang susi ay binago sa bawat loop sa pamamagitan ng decode_XOR_key() function. Sa wakas, ang FiXS ATM malware ay inilunsad sa pamamagitan ng 'ShellExecute' Windows API.

Ginagamit ng malware ang mga CEN XFS API upang makipag-ugnayan sa ATM, na ginagawang tugma ito sa karamihan ng mga ATM na nakabatay sa Windows na may kaunting pagsasaayos. Maaaring gumamit ang mga cybercriminal ng panlabas na keyboard upang makipag-ugnayan sa malware, at hinarang ng mga mekanismo ng hooking ang mga keystroke. Sa loob ng 30 minutong window pagkatapos mag-reboot ang ATM, maaaring samantalahin ng mga kriminal ang kahinaan ng system at gamitin ang panlabas na keyboard para 'maglabas ng pera' mula sa ATM.

Ang mga mananaliksik ay hindi sigurado tungkol sa paunang vector para sa impeksyon. Gayunpaman, dahil gumagamit ang FiXS ng panlabas na keyboard na katulad ng Ploutus, pinaniniwalaan din itong sumusunod sa katulad na pamamaraan. Pagdating sa Ploutus, ang isang taong may pisikal na access sa teller machine ay nagkokonekta ng isang panlabas na keyboard sa ATM upang simulan ang pag-atake.

Sikat Pa rin ang Jackpotting sa mga Cybercriminal Group

Dahil ang mga ATM ay nananatiling mahalagang bahagi ng sistema ng pananalapi para sa mga ekonomiyang nakabatay sa pera, laganap pa rin ang mga pag-atake ng malware na nagta-target sa mga device na ito. Samakatuwid, napakahalaga para sa mga institusyong pampinansyal at mga bangko na mahulaan ang mga potensyal na kompromiso ng device at tumuon sa pag-optimize at pagpapabuti ng kanilang mga tugon sa mga ganitong uri ng pagbabanta. Ang mga pag-atakeng ito ay may malaking epekto sa iba't ibang rehiyon, kabilang ang Latin America, Europe, Asia at United States.

Ang mga panganib na nauugnay sa mga pag-atake na ito ay partikular na mataas para sa mas lumang mga modelo ng ATM, dahil ang mga ito ay mahirap na ayusin o palitan at bihirang gumamit ng software ng seguridad upang maiwasan ang karagdagang pagkasira ng kanilang mahinang pagganap.

Ang European Association for Secure Transactions ay nag-ulat ng kabuuang 202 matagumpay na pag-atake sa pag-jackpot (ATM Malware & Logical Attacks) na nagta-target sa mga institusyong pampinansyal sa EU noong 2020, na nagreresulta sa pagkalugi ng $1.4 milyon, o humigit-kumulang $7,000 bawat pag-atake, ayon sa isang ulat noong 2022 ng ang Federal Reserve Bank ng Atlanta.