FiXS Malware

Кіберзлочинці атакували банкомати в Мексиці за допомогою нового типу шкідливого програмного забезпечення, відомого як FiXS, яке дозволяє зловмисникам видавати готівку з цільових машин. Це зловмисне програмне забезпечення використовувалося в серії атак, які почалися в лютому 2023 року.

Згідно зі звітом експертів із безпеки, тактика, використана в цих атаках, подібна до тих, що використовувалися під час попередніх атак Ploutus, ще одного типу зловмисного програмного забезпечення для банкоматів, яке було націлено на латиноамериканські банки з 2013 року. Оновлена версія Ploutus , яка спеціально націлена на банкомати вироблений бразильським постачальником Itautec, поширений у Латинській Америці з 2021 року.

Зловмисне програмне забезпечення FiXS щойно вийшло та наразі впливає на мексиканські банки. Після встановлення на банкомати він використовує переваги набору протоколів і API, відомих як CEN XFS, що дозволяє кіберзлочинцям програмувати банкомати для видачі готівки за допомогою зовнішньої клавіатури або за допомогою SMS-повідомлень. Цей процес відомий як джекпотінг. Примітно, що такий вид атаки може завдати значних фінансових втрат як банкам, так і їхнім клієнтам, а також викликати занепокоєння щодо безпеки мереж банкоматів.

Ланцюжок атак шкідливого ПЗ FiXS

Однією з головних особливостей шкідливого програмного забезпечення FiXS є те, що воно дозволяє зловмиснику видавати готівку з банкомату через 30 хвилин після перезавантаження машини. Однак злочинці повинні мати доступ до банкомату через зовнішню клавіатуру.

Зловмисне програмне забезпечення містить метадані російською мовою або кирилицею, а ланцюжок атаки починається з програми зловмисного програмного забезпечення під назвою conhost.exe. Цей дроппер ідентифікує тимчасовий каталог системи та зберігає там шкідливе програмне забезпечення FiXS ATM. Потім вбудоване зловмисне програмне забезпечення декодується за допомогою інструкції XOR, при цьому ключ змінюється в кожному циклі за допомогою функції decode_XOR_key(). Нарешті, зловмисне програмне забезпечення FiXS ATM запускається через Windows API ShellExecute.

Зловмисне програмне забезпечення використовує API CEN XFS для взаємодії з банкоматом, що робить його сумісним із більшістю банкоматів на базі Windows із мінімальними налаштуваннями. Кіберзлочинці можуть використовувати зовнішню клавіатуру для взаємодії зі шкідливим програмним забезпеченням, а механізми підключення перехоплюють натискання клавіш. Протягом 30-хвилинного вікна після перезавантаження банкомату злочинці можуть скористатися вразливістю системи та використовувати зовнішню клавіатуру, щоб «виплюнути гроші» з банкомату.

Дослідники не впевнені щодо початкового вектора інфекції. Однак, оскільки FiXS використовує зовнішню клавіатуру, схожу на Ploutus, вважається, що він також дотримується подібної методології. Що стосується Ploutus, людина, яка має фізичний доступ до банкомата, підключає зовнішню клавіатуру до банкомату, щоб ініціювати атаку.

Джекпотінг все ще популярний серед груп кіберзлочинців

Оскільки банкомати залишаються ключовим компонентом фінансової системи для готівкових економік, атаки зловмисного програмного забезпечення, спрямовані на ці пристрої, все ще поширені. Тому фінансовим установам і банкам вкрай важливо передбачити потенційні зломи пристроїв і зосередитися на оптимізації та покращенні відповіді на ці типи загроз. Ці атаки мали значний вплив на різні регіони, включаючи Латинську Америку, Європу, Азію та Сполучені Штати.

Ризики, пов’язані з цими атаками, особливо високі для старих моделей банкоматів, оскільки їх важко відремонтувати або замінити, і рідко використовують програмне забезпечення безпеки, щоб запобігти подальшому погіршенню їх і без того низької продуктивності.

Згідно зі звітом 2022 року, Європейська асоціація безпечних транзакцій повідомила про 202 успішні джекпотінг-атаки (зловмисне програмне забезпечення банкоматів і логічні атаки), націлені на фінансові установи в ЄС у 2020 році, що призвело до збитків у розмірі 1,4 мільйона доларів США, або близько 7000 доларів США за атаку. Федеральний резервний банк Атланти.