FiXS Malware

Os cibercriminosos têm visado os caixas eletrônicos do México com uma nova variedade de malware conhecida como FiXS, que permite que os invasores dispensem dinheiro das máquinas visadas. Este malware foi usado em uma série de ataques que começaram em fevereiro de 2023.

De acordo com um relatório de especialistas em segurança, as táticas usadas nesses ataques são semelhantes às usadas em ataques anteriores do Ploutus, outro tipo de malware de caixas eletrônicos que tem como alvo bancos latino-americanos desde 2013. Uma versão atualizada do Ploutus, que visa especificamente caixas eletrônicos produzido pelo fornecedor brasileiro Itautec, é predominante na América Latina desde 2021.

O malware FiXS acabou de sair e está afetando os bancos mexicanos. Uma vez instalado nos caixas eletrônicos, ele aproveita um conjunto de protocolos e APIs conhecidos como CEN XFS, que permite aos cibercriminosos programar os caixas eletrônicos para dispensar dinheiro, seja por meio de um teclado externo ou por mensagem SMS. Este processo é conhecido como jackpotting. Vale ressaltar que esse tipo de ataque pode causar perdas financeiras significativas tanto para os bancos quanto para seus clientes, além de gerar preocupações quanto à segurança das redes de caixas eletrônicos.

A Cadeia de Ataque do Malware FiXS

Uma das principais características do malware FiXS é que ele permite que o agente da ameaça distribua dinheiro do caixa eletrônico 30 minutos após a reinicialização da máquina. No entanto, os criminosos devem ter acesso ao caixa eletrônico por meio de um teclado externo.

O malware contém metadados em russo ou cirílico, e a cadeia de ataque começa com um conta-gotas de malware chamado 'conhost.exe'. Este conta-gotas identifica o diretório temporário do sistema e armazena a carga útil do malware FiXS ATM lá. O malware incorporado é então decodificado com a instrução XOR, com a chave sendo alterada em cada loop por meio da função decode_XOR_key(). Por fim, o malware FiXS ATM é iniciado por meio da API do Windows 'ShellExecute'.

O malware usa as APIs CEN XFS para interagir com o caixa eletrônico, o que o torna compatível com a maioria dos caixas eletrônicos baseados em Windows com ajustes mínimos. Os cibercriminosos podem usar um teclado externo para interagir com o malware, e os mecanismos de interceptação interceptam as teclas digitadas. Dentro de uma janela de 30 minutos após a reinicialização do caixa eletrônico, os criminosos podem aproveitar a vulnerabilidade do sistema e usar o teclado externo para 'cuspir dinheiro' do caixa eletrônico.

Os pesquisadores não têm certeza sobre o vetor inicial da infecção. No entanto, como o FiXS usa um teclado externo semelhante ao Ploutus, acredita-se que ele também siga uma metodologia semelhante. Quando se trata de Ploutus, uma pessoa com acesso físico ao caixa eletrônico conecta um teclado externo ao caixa eletrônico para iniciar o ataque.

O Jackpotting Ainda é Popular entreos Grupos de Cibercriminosos

Como os caixas eletrônicos continuam sendo um componente crucial do sistema financeiro para economias baseadas em dinheiro, os ataques de malware direcionados a esses dispositivos ainda prevalecem. Portanto, é crucial para instituições financeiras e bancos antecipar possíveis comprometimentos de dispositivos e se concentrar em otimizar e melhorar suas respostas a esses tipos de ameaças. Esses ataques tiveram um impacto significativo em várias regiões, incluindo América Latina, Europa, Ásia e Estados Unidos.

Os riscos associados a esses ataques são particularmente altos para modelos de caixas eletrônicos mais antigos, pois são difíceis de reparar ou substituir e raramente usam software de segurança para evitar a degradação de seu já fraco desempenho.

A European Association for Secure Transactions relatou um total de 202 ataques de jackpotting bem-sucedidos (ATM Malware & Logical Attacks) direcionados a instituições financeiras na UE em 2020, resultando em perdas de US$1,4 milhão, ou cerca de US$7.000 por ataque, de acordo com um relatório de 2022 da Banco da Reserva Federal de Atlanta.