FiXS Malware

Kyberzločinci se zaměřují na bankomaty v Mexiku novým kmenem malwaru známým jako FiXS, který útočníkům umožňuje vydávat hotovost z cílených strojů. Tento malware byl použit v sérii útoků, které začaly v únoru 2023.

Podle zprávy bezpečnostních expertů je taktika použitá při těchto útocích podobná taktice, kterou použil při předchozích útocích Ploutus, což je další typ ATM malwaru, který se zaměřuje na latinskoamerické banky od roku 2013. Aktualizovaná verze Ploutus , která se zaměřuje konkrétně na bankomaty vyráběný brazilským dodavatelem Itautec, převládá v Latinské Americe od roku 2021.

Malware FiXS je právě venku a aktuálně ovlivňuje mexické banky. Po instalaci na bankomaty využívá sadu protokolů a rozhraní API známou jako CEN XFS, která umožňuje kyberzločincům naprogramovat bankomaty tak, aby vydávaly hotovost, a to buď prostřednictvím externí klávesnice, nebo prostřednictvím SMS zpráv. Tento proces je známý jako jackpotování. Je pozoruhodné, že tento typ útoku může bankám i jejich zákazníkům způsobit značné finanční ztráty a také vyvolat obavy o bezpečnost sítí bankomatů.

Útokový řetězec malwaru FiXS

Jedním z hlavních rysů malwaru FiXS je, že umožňuje aktérovi hrozby vydat hotovost z bankomatu 30 minut po restartu stroje. Zločinci však musí mít přístup k bankomatu prostřednictvím externí klávesnice.

Malware obsahuje metadata v ruštině nebo azbuce a řetězec útoků začíná dropperem malwaru nazvaným „conhost.exe“. Toto kapátko identifikuje dočasný adresář systému a ukládá do něj malware FiXS ATM. Vložený malware je poté dekódován pomocí instrukce XOR, přičemž klíč se v každé smyčce mění pomocí funkce decode_XOR_key(). A konečně, malware FiXS ATM je spuštěn prostřednictvím rozhraní Windows API „ShellExecute“.

Malware využívá CEN XFS API k interakci s bankomatem, díky čemuž je kompatibilní s většinou bankomatů se systémem Windows s minimálními úpravami. Kyberzločinci mohou k interakci s malwarem používat externí klávesnici a hákové mechanismy zachycují stisky kláves. Během 30 minut po restartu bankomatu mohou zločinci využít zranitelnosti systému a pomocí externí klávesnice „vyplivnout peníze“ z bankomatu.

Výzkumníci si nejsou jisti počátečním vektorem infekce. Nicméně, protože FiXS používá externí klávesnici podobnou Ploutus, má se také za to, že se řídí podobnou metodikou. Pokud jde o Ploutus, osoba s fyzickým přístupem k bankomatu připojí externí klávesnici k bankomatu, aby zahájila útok.

Jackpotování je stále populární mezi skupinami kyberzločinců

Vzhledem k tomu, že bankomaty zůstávají klíčovou součástí finančního systému pro hotovostní ekonomiky, stále převládají malwarové útoky zaměřené na tato zařízení. Pro finanční instituce a banky je proto klíčové předvídat potenciální kompromitace zařízení a soustředit se na optimalizaci a zlepšování svých reakcí na tyto typy hrozeb. Tyto útoky měly významný dopad na různé regiony, včetně Latinské Ameriky, Evropy, Asie a Spojených států.

Rizika spojená s těmito útoky jsou zvláště vysoká u starších modelů bankomatů, protože je obtížné je opravit nebo vyměnit a jen zřídka používají bezpečnostní software, aby zabránily další degradaci jejich již tak špatného výkonu.

Evropská asociace pro bezpečné transakce ohlásila v roce 2020 celkem 202 úspěšných jackpotovacích útoků (ATM Malware & Logical Attacks) zaměřených na finanční instituce v EU, což mělo za následek ztráty ve výši 1,4 milionu USD, neboli přibližně 7 000 USD na útok, uvádí zpráva z roku 2022. Federální rezervní banka v Atlantě.