FiXS Malware

ਸਾਈਬਰ ਅਪਰਾਧੀ ਮੈਕਸੀਕੋ ਵਿੱਚ FiXS ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਨਵੇਂ ਤਣਾਅ ਨਾਲ ATM ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਮਸ਼ੀਨਾਂ ਤੋਂ ਨਕਦ ਵੰਡਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਫਰਵਰੀ 2023 ਤੋਂ ਸ਼ੁਰੂ ਹੋਏ ਹਮਲਿਆਂ ਦੀ ਲੜੀ ਵਿੱਚ ਕੀਤੀ ਗਈ ਹੈ।

ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਦੀ ਇੱਕ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ Ploutus ਦੁਆਰਾ ਪਿਛਲੇ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਦੇ ਸਮਾਨ ਹਨ, ਇੱਕ ਹੋਰ ਕਿਸਮ ਦਾ ATM ਮਾਲਵੇਅਰ ਜੋ 2013 ਤੋਂ ਲੈਟਿਨ ਅਮਰੀਕੀ ਬੈਂਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। Ploutus ਦਾ ਇੱਕ ਅਪਡੇਟ ਕੀਤਾ ਸੰਸਕਰਣ, ਜੋ ਖਾਸ ਤੌਰ 'ਤੇ ATM ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਵਿਕਰੇਤਾ ਇਟਾਉਟੇਕ ਦੁਆਰਾ ਨਿਰਮਿਤ, 2021 ਤੋਂ ਲੈਟਿਨ ਅਮਰੀਕਾ ਵਿੱਚ ਪ੍ਰਚਲਿਤ ਹੈ।

FiXS ਮਾਲਵੇਅਰ ਹੁਣੇ ਹੀ ਬਾਹਰ ਹੈ ਅਤੇ ਵਰਤਮਾਨ ਵਿੱਚ ਮੈਕਸੀਕਨ ਬੈਂਕਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਰਿਹਾ ਹੈ। ਇੱਕ ਵਾਰ ATMs 'ਤੇ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ CEN XFS ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਪ੍ਰੋਟੋਕੋਲ ਅਤੇ APIs ਦੇ ਇੱਕ ਸੂਟ ਦਾ ਲਾਭ ਲੈਂਦਾ ਹੈ, ਜੋ ਕਿ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ATMs ਨੂੰ ਨਕਦ ਵੰਡਣ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਜਾਂ ਤਾਂ ਇੱਕ ਬਾਹਰੀ ਕੀਬੋਰਡ ਰਾਹੀਂ ਜਾਂ SMS ਮੈਸੇਜਿੰਗ ਦੁਆਰਾ। ਇਸ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਜੈਕਪਾਟਿੰਗ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਇਸ ਤਰ੍ਹਾਂ ਦਾ ਹਮਲਾ ਬੈਂਕਾਂ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਗਾਹਕਾਂ ਦੋਵਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਵਿੱਤੀ ਨੁਕਸਾਨ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਨਾਲ ਹੀ ATM ਨੈੱਟਵਰਕਾਂ ਦੀ ਸੁਰੱਖਿਆ ਬਾਰੇ ਚਿੰਤਾਵਾਂ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ।

FiXS Malware ਦੀ ਅਟੈਕ ਚੇਨ

FiXS ਮਾਲਵੇਅਰ ਦੀਆਂ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਹ ਹੈ ਕਿ ਇਹ ਮਸ਼ੀਨ ਦੇ ਰੀਬੂਟ ਹੋਣ ਤੋਂ 30 ਮਿੰਟ ਬਾਅਦ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ATM ਤੋਂ ਨਕਦ ਵੰਡਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਅਪਰਾਧੀਆਂ ਕੋਲ ਇੱਕ ਬਾਹਰੀ ਕੀਬੋਰਡ ਦੁਆਰਾ ਏਟੀਐਮ ਤੱਕ ਪਹੁੰਚ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ।

ਮਾਲਵੇਅਰ ਵਿੱਚ ਰੂਸੀ ਜਾਂ ਸਿਰਿਲਿਕ ਲਿਪੀ ਵਿੱਚ ਮੈਟਾਡੇਟਾ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਹਮਲੇ ਦੀ ਲੜੀ 'conhost.exe' ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਡਰਾਪਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਇਹ ਡਰਾਪਰ ਸਿਸਟਮ ਦੀ ਅਸਥਾਈ ਡਾਇਰੈਕਟਰੀ ਦੀ ਪਛਾਣ ਕਰਦਾ ਹੈ ਅਤੇ FiXS ATM ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਨੂੰ ਉੱਥੇ ਸਟੋਰ ਕਰਦਾ ਹੈ। ਏਮਬੇਡ ਕੀਤੇ ਮਾਲਵੇਅਰ ਨੂੰ ਫਿਰ XOR ਹਦਾਇਤ ਨਾਲ ਡੀਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਡੀਕੋਡ_XOR_key() ਫੰਕਸ਼ਨ ਰਾਹੀਂ ਹਰ ਲੂਪ ਵਿੱਚ ਕੁੰਜੀ ਬਦਲੀ ਜਾਂਦੀ ਹੈ। ਅੰਤ ਵਿੱਚ, FiXS ATM ਮਾਲਵੇਅਰ ਨੂੰ 'ShellExecute' Windows API ਦੁਆਰਾ ਲਾਂਚ ਕੀਤਾ ਗਿਆ ਹੈ।

ਮਾਲਵੇਅਰ ATM ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ CEN XFS APIs ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਇਸਨੂੰ ਘੱਟੋ-ਘੱਟ ਐਡਜਸਟਮੈਂਟਾਂ ਦੇ ਨਾਲ ਜ਼ਿਆਦਾਤਰ ਵਿੰਡੋਜ਼-ਅਧਾਰਿਤ ATMs ਨਾਲ ਅਨੁਕੂਲ ਬਣਾਉਂਦਾ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਮਾਲਵੇਅਰ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਇੱਕ ਬਾਹਰੀ ਕੀਬੋਰਡ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਹੂਕਿੰਗ ਵਿਧੀ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਰੋਕਦੀ ਹੈ। ATM ਰੀਬੂਟ ਹੋਣ ਤੋਂ ਬਾਅਦ 30-ਮਿੰਟ ਦੀ ਵਿੰਡੋ ਦੇ ਅੰਦਰ, ਅਪਰਾਧੀ ਸਿਸਟਮ ਦੀ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾ ਸਕਦੇ ਹਨ ਅਤੇ ATM ਤੋਂ 'ਪੈਸੇ ਨੂੰ ਥੁੱਕਣ' ਲਈ ਬਾਹਰੀ ਕੀਬੋਰਡ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ।

ਖੋਜਕਰਤਾ ਲਾਗ ਲਈ ਸ਼ੁਰੂਆਤੀ ਵੈਕਟਰ ਬਾਰੇ ਅਨਿਸ਼ਚਿਤ ਹਨ। ਹਾਲਾਂਕਿ, ਕਿਉਂਕਿ FiXS Ploutus ਦੇ ਸਮਾਨ ਇੱਕ ਬਾਹਰੀ ਕੀਬੋਰਡ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਇਹ ਵੀ ਇੱਕ ਸਮਾਨ ਵਿਧੀ ਦੀ ਪਾਲਣਾ ਕਰਨ ਲਈ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਪਲੋਟਸ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ, ਤਾਂ ਟੈਲਰ ਮਸ਼ੀਨ ਤੱਕ ਸਰੀਰਕ ਪਹੁੰਚ ਵਾਲਾ ਵਿਅਕਤੀ ਹਮਲਾ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਇੱਕ ਬਾਹਰੀ ਕੀਬੋਰਡ ਨੂੰ ATM ਨਾਲ ਜੋੜਦਾ ਹੈ।

ਜੈਕਪੌਟਿੰਗ ਅਜੇ ਵੀ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਵਿੱਚ ਪ੍ਰਸਿੱਧ ਹੈ

ਜਿਵੇਂ ਕਿ ਏਟੀਐਮ ਨਕਦ-ਅਧਾਰਿਤ ਅਰਥਵਿਵਸਥਾਵਾਂ ਲਈ ਵਿੱਤੀ ਪ੍ਰਣਾਲੀ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਾ ਬਣੇ ਹੋਏ ਹਨ, ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਮਾਲਵੇਅਰ ਹਮਲੇ ਅਜੇ ਵੀ ਪ੍ਰਚਲਿਤ ਹਨ। ਇਸ ਲਈ, ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਬੈਂਕਾਂ ਲਈ ਇਹ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਉਹ ਸੰਭਾਵੀ ਡਿਵਾਈਸ ਸਮਝੌਤਿਆਂ ਦਾ ਅੰਦਾਜ਼ਾ ਲਗਾਉਣ ਅਤੇ ਇਸ ਕਿਸਮ ਦੇ ਖਤਰਿਆਂ ਪ੍ਰਤੀ ਆਪਣੇ ਜਵਾਬਾਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਅਤੇ ਬਿਹਤਰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ। ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਦਾ ਲਾਤੀਨੀ ਅਮਰੀਕਾ, ਯੂਰਪ, ਏਸ਼ੀਆ ਅਤੇ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਖੇਤਰਾਂ 'ਤੇ ਮਹੱਤਵਪੂਰਣ ਪ੍ਰਭਾਵ ਪਿਆ ਹੈ।

ਇਹਨਾਂ ਹਮਲਿਆਂ ਨਾਲ ਜੁੜੇ ਜੋਖਮ ਪੁਰਾਣੇ ATM ਮਾਡਲਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਉੱਚੇ ਹੁੰਦੇ ਹਨ, ਕਿਉਂਕਿ ਉਹ ਮੁਰੰਮਤ ਕਰਨ ਜਾਂ ਬਦਲਣ ਲਈ ਚੁਣੌਤੀਪੂਰਨ ਹੁੰਦੇ ਹਨ ਅਤੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਉਹਨਾਂ ਦੀ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਖਰਾਬ ਕਾਰਗੁਜ਼ਾਰੀ ਦੇ ਹੋਰ ਨਿਘਾਰ ਨੂੰ ਰੋਕਣ ਲਈ ਘੱਟ ਹੀ ਕਰਦੇ ਹਨ।

ਯੂਰਪੀਅਨ ਐਸੋਸੀਏਸ਼ਨ ਫਾਰ ਸਕਿਓਰ ਟ੍ਰਾਂਜੈਕਸ਼ਨਜ਼ ਨੇ 2020 ਵਿੱਚ ਯੂਰਪੀਅਨ ਯੂਨੀਅਨ ਵਿੱਚ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਕੁੱਲ 202 ਸਫਲ ਜੈਕਪੌਟਿੰਗ ਹਮਲੇ (ਏਟੀਐਮ ਮਾਲਵੇਅਰ ਅਤੇ ਲਾਜ਼ੀਕਲ ਅਟੈਕ) ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਹੈ, ਜਿਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ $1.4 ਮਿਲੀਅਨ, ਜਾਂ $7,000 ਪ੍ਰਤੀ ਹਮਲੇ ਦਾ ਨੁਕਸਾਨ ਹੋਇਆ ਹੈ। ਅਟਲਾਂਟਾ ਦੇ ਫੈਡਰਲ ਰਿਜ਼ਰਵ ਬੈਂਕ.