FiXS Malware

Tội phạm mạng đã nhắm mục tiêu vào các máy ATM ở Mexico bằng một dòng phần mềm độc hại mới có tên là FiXS, cho phép kẻ tấn công rút tiền mặt từ các máy được nhắm mục tiêu. Phần mềm độc hại này đã được sử dụng trong một loạt cuộc tấn công bắt đầu vào tháng 2 năm 2023.

Theo báo cáo của các chuyên gia bảo mật, chiến thuật được sử dụng trong các cuộc tấn công này tương tự như chiến thuật được sử dụng trong các cuộc tấn công trước đó của Ploutus, một loại phần mềm độc hại ATM khác nhắm mục tiêu vào các ngân hàng Mỹ Latinh kể từ năm 2013. Một phiên bản cập nhật của Ploutus , nhắm mục tiêu cụ thể vào các máy ATM do nhà cung cấp Itautec của Brazil sản xuất, đã phổ biến khắp Châu Mỹ Latinh kể từ năm 2021.

Phần mềm độc hại FiXS vừa ra mắt và hiện đang ảnh hưởng đến các ngân hàng Mexico. Sau khi được cài đặt trên các máy ATM, nó sẽ tận dụng một bộ giao thức và API được gọi là CEN XFS, cho phép tội phạm mạng lập trình các máy ATM để phân phối tiền mặt, thông qua bàn phím bên ngoài hoặc bằng tin nhắn SMS. Quá trình này được gọi là jackpotting. Đáng chú ý là kiểu tấn công này có thể gây ra tổn thất tài chính đáng kể cho cả ngân hàng và khách hàng của họ, cũng như gây lo ngại về tính bảo mật của mạng lưới ATM.

Chuỗi tấn công của phần mềm độc hại FiXS

Một trong những tính năng chính của phần mềm độc hại FiXS là nó cho phép kẻ đe dọa rút tiền từ máy ATM 30 phút sau khi máy được khởi động lại. Tuy nhiên, bọn tội phạm phải có quyền truy cập vào máy ATM thông qua bàn phím bên ngoài.

Phần mềm độc hại chứa siêu dữ liệu bằng tiếng Nga hoặc chữ viết Cyrillic và chuỗi tấn công bắt đầu bằng một trình nhỏ giọt phần mềm độc hại có tên là 'conhost.exe.' Trình nhỏ giọt này xác định thư mục tạm thời của hệ thống và lưu trữ phần mềm độc hại FiXS ATM ở đó. Phần mềm độc hại được nhúng sau đó được giải mã bằng lệnh XOR, với khóa được thay đổi trong mỗi vòng lặp thông qua hàm decode_XOR_key(). Cuối cùng, phần mềm độc hại FiXS ATM được khởi chạy thông qua API Windows 'ShellExecute'.

Phần mềm độc hại sử dụng API CEN XFS để tương tác với máy ATM, giúp nó tương thích với hầu hết các máy ATM chạy trên Windows với các điều chỉnh tối thiểu. Tội phạm mạng có thể sử dụng bàn phím bên ngoài để tương tác với phần mềm độc hại và các cơ chế hooking sẽ chặn các lần nhấn phím. Trong vòng 30 phút sau khi máy ATM khởi động lại, bọn tội phạm có thể lợi dụng lỗ hổng của hệ thống và sử dụng bàn phím bên ngoài để 'rút tiền' từ máy ATM.

Các nhà nghiên cứu không chắc chắn về véc tơ lây nhiễm ban đầu. Tuy nhiên, vì FiXS sử dụng bàn phím ngoài tương tự như Ploutus nên nó cũng được cho là tuân theo một phương pháp tương tự. Khi nói đến Ploutus, một người có quyền truy cập vật lý vào máy rút tiền sẽ kết nối bàn phím bên ngoài với máy ATM để bắt đầu cuộc tấn công.

Jackpotting vẫn phổ biến trong các nhóm tội phạm mạng

Vì máy ATM vẫn là một thành phần quan trọng của hệ thống tài chính đối với các nền kinh tế dựa trên tiền mặt nên các cuộc tấn công bằng phần mềm độc hại nhắm vào các thiết bị này vẫn còn phổ biến. Do đó, điều quan trọng đối với các tổ chức tài chính và ngân hàng là dự đoán các nguy cơ tiềm ẩn của thiết bị và tập trung vào việc tối ưu hóa cũng như cải thiện phản ứng của họ đối với các loại mối đe dọa này. Những cuộc tấn công này đã có tác động đáng kể đến các khu vực khác nhau, bao gồm Châu Mỹ Latinh, Châu Âu, Châu Á và Hoa Kỳ.

Rủi ro liên quan đến các cuộc tấn công này đặc biệt cao đối với các mẫu máy ATM cũ hơn, vì chúng rất khó sửa chữa hoặc thay thế và hiếm khi sử dụng phần mềm bảo mật để ngăn chặn sự suy giảm thêm hiệu suất vốn đã kém của chúng.

Hiệp hội giao dịch an toàn châu Âu đã báo cáo tổng cộng 202 cuộc tấn công jackpotting thành công (Phần mềm độc hại ATM & Tấn công logic) nhắm vào các tổ chức tài chính ở EU vào năm 2020, dẫn đến thiệt hại 1,4 triệu đô la, tương đương khoảng 7.000 đô la cho mỗi cuộc tấn công, theo một báo cáo năm 2022 của Ngân hàng Dự trữ Liên bang Atlanta.