FiXS Malware

網絡犯罪分子一直在使用一種名為 FiXS 的新型惡意軟件以墨西哥的 ATM 為目標，該惡意軟件允許攻擊者從目標機器上取款。該惡意軟件已用於 2023 年 2 月開始的一系列攻擊。

根據安全專家的一份報告，這些攻擊中使用的策略與 Ploutus 之前的攻擊中使用的策略相似， Ploutus是另一種 ATM 惡意軟件，自 2013 年以來一直以拉丁美洲銀行為目標。Ploutus 的更新版本，專門針對 ATM由巴西供應商 Itautec 生產，自 2021 年以來一直在拉丁美洲流行。

FiXS 惡意軟件剛剛出現，目前正在影響墨西哥的銀行。一旦安裝在 ATM 上，它就會利用一套稱為 CEN XFS 的協議和 API，允許網絡犯罪分子通過外部鍵盤或 SMS 消息對 ATM 進行編程以分配現金。這個過程被稱為累積獎金。值得注意的是，此類攻擊可能會給銀行及其客戶造成重大經濟損失，並引發人們對 ATM 網絡安全的擔憂。

FiXS 惡意軟件的攻擊鏈

FiXS 惡意軟件的主要特徵之一是它使威脅行為者能夠在機器重新啟動 30 分鐘後從 ATM 取款。但是，犯罪分子必須能夠通過外部鍵盤訪問 ATM。

該惡意軟件包含俄語或西里爾文字的元數據，攻擊鏈以名為“conhost.exe”的惡意軟件植入程序開始。該釋放器識別系統的臨時目錄並將 FiXS ATM 惡意軟件負載存儲在那裡。然後使用 XOR 指令解碼嵌入式惡意軟件，通過 decode_XOR_key() 函數在每個循環中更改密鑰。最後，FiXS ATM 惡意軟件通過“ShellExecute”Windows API 啟動。

該惡意軟件使用 CEN XFS API 與 ATM 進行交互，這使其與大多數基於 Windows 的 ATM 兼容，只需進行最少的調整。網絡犯罪分子可以使用外部鍵盤與惡意軟件進行交互，掛鉤機制會攔截擊鍵。在 ATM 重新啟動後的 30 分鐘窗口內，犯罪分子可以利用系統的漏洞並使用外部鍵盤從 ATM 中“吐錢”。

研究人員不確定感染的初始載體。然而，由於 FiXS 使用類似於 Ploutus 的外部鍵盤，因此它也被認為遵循類似的方法。對於 Ploutus，可以物理訪問櫃員機的人將外部鍵盤連接到 ATM 以發起攻擊。

累積獎金在網絡犯罪集團中仍然很流行

由於 ATM 仍然是現金經濟體金融系統的重要組成部分，因此針對這些設備的惡意軟件攻擊仍然很普遍。因此，對於金融機構和銀行來說，預測潛在的設備危害並專注於優化和改進他們對這些類型威脅的響應至關重要。這些攻擊對包括拉丁美洲、歐洲、亞洲和美國在內的多個地區產生了重大影響。

與這些攻擊相關的風險對於較舊的 ATM 型號來說特別高，因為它們很難修復或更換，並且很少使用安全軟件來防止其本已很差的性能進一步下降。

根據 2022 年的一份報告，歐洲安全交易協會報告稱，2020 年針對歐盟金融機構的成功累積獎金攻擊（ATM 惡意軟件和邏輯攻擊）共計 202 起，造成 140 萬美元的損失，即每次攻擊造成約 7,000 美元的損失。亞特蘭大聯邦儲備銀行。