FiXS Malware

网络犯罪分子一直在使用一种名为 FiXS 的新型恶意软件以墨西哥的 ATM 为目标，该恶意软件允许攻击者从目标机器上取款。该恶意软件已用于 2023 年 2 月开始的一系列攻击。

根据安全专家的一份报告，这些攻击中使用的策略与 Ploutus 之前的攻击中使用的策略相似， Ploutus是另一种 ATM 恶意软件，自 2013 年以来一直以拉丁美洲银行为目标。Ploutus 的更新版本，专门针对 ATM由巴西供应商 Itautec 生产，自 2021 年以来一直在拉丁美洲流行。

FiXS 恶意软件刚刚出现，目前正在影响墨西哥的银行。一旦安装在 ATM 上，它就会利用一套称为 CEN XFS 的协议和 API，允许网络犯罪分子通过外部键盘或 SMS 消息对 ATM 进行编程以分配现金。这个过程被称为累积奖金。值得注意的是，此类攻击可能会给银行及其客户造成重大经济损失，并引发人们对 ATM 网络安全的担忧。

FiXS 恶意软件的攻击链

FiXS 恶意软件的主要特征之一是它使威胁行为者能够在机器重新启动 30 分钟后从 ATM 取款。但是，犯罪分子必须能够通过外部键盘访问 ATM。

该恶意软件包含俄语或西里尔文字的元数据，攻击链以名为“conhost.exe”的恶意软件植入程序开始。该释放器识别系统的临时目录并将 FiXS ATM 恶意软件负载存储在那里。然后使用 XOR 指令解码嵌入式恶意软件，通过 decode_XOR_key() 函数在每个循环中更改密钥。最后，FiXS ATM 恶意软件通过“ShellExecute”Windows API 启动。

该恶意软件使用 CEN XFS API 与 ATM 进行交互，这使其与大多数基于 Windows 的 ATM 兼容，只需进行最少的调整。网络犯罪分子可以使用外部键盘与恶意软件进行交互，挂钩机制会拦截击键。在 ATM 重新启动后的 30 分钟窗口内，犯罪分子可以利用系统的漏洞并使用外部键盘从 ATM 中“吐钱”。

研究人员不确定感染的初始载体。然而，由于 FiXS 使用类似于 Ploutus 的外部键盘，因此它也被认为遵循类似的方法。对于 Ploutus，可以物理访问柜员机的人将外部键盘连接到 ATM 以发起攻击。

累积奖金在网络犯罪集团中仍然很流行

由于 ATM 仍然是现金经济体金融系统的重要组成部分，因此针对这些设备的恶意软件攻击仍然很普遍。因此，对于金融机构和银行来说，预测潜在的设备危害并专注于优化和改进他们对这些类型威胁的响应至关重要。这些攻击对包括拉丁美洲、欧洲、亚洲和美国在内的多个地区产生了重大影响。

与这些攻击相关的风险对于较旧的 ATM 型号来说特别高，因为它们很难修复或更换，并且很少使用安全软件来防止其本已很差的性能进一步下降。

根据 2022 年的一份报告，欧洲安全交易协会报告称，2020 年针对欧盟金融机构的成功累积奖金攻击（ATM 恶意软件和逻辑攻击）共计 202 起，造成 140 万美元的损失，即每次攻击造成约 7,000 美元的损失。亚特兰大联邦储备银行。