FiXS Malware

Infractorii cibernetici au vizat bancomatele din Mexic cu o nouă tulpină de malware cunoscută sub numele de FiXS, care le permite atacatorilor să distribuie numerar de la mașinile vizate. Acest malware a fost folosit într-o serie de atacuri care au început în februarie 2023.

Potrivit unui raport al experților în securitate, tacticile folosite în aceste atacuri sunt similare cu cele folosite în atacurile anterioare de către Ploutus, un alt tip de malware ATM care vizează băncile din America Latină din 2013. O versiune actualizată a Ploutus , care vizează în mod specific bancomatele. produs de furnizorul brazilian Itautec, este răspândit în America Latină din 2021.

Programul malware FiXS abia a apărut și afectează în prezent băncile mexicane. Odată instalat pe ATM-uri, acesta profită de o suită de protocoale și API-uri cunoscute sub numele de CEN XFS, care le permite infractorilor cibernetici să programeze ATM-urile pentru a distribui numerar, fie prin intermediul unei tastaturi externe, fie prin mesaje SMS. Acest proces este cunoscut sub numele de jackpotting. Este de remarcat faptul că acest tip de atac poate provoca pierderi financiare semnificative atât pentru bănci, cât și pentru clienții acestora, precum și să ridice îngrijorări cu privire la securitatea rețelelor de bancomate.

Lanțul de atac al programului malware FiXS

Una dintre principalele caracteristici ale programului malware FiXS este că permite actorului amenințării să distribuie numerar de la bancomat la 30 de minute după ce mașina a fost repornită. Cu toate acestea, infractorii trebuie să aibă acces la bancomat printr-o tastatură externă.

Malware-ul conține metadate în limba rusă sau chirilică, iar lanțul de atac începe cu un dropper de malware numit „conhost.exe”. Acest dropper identifică directorul temporar al sistemului și stochează acolo încărcătura utilă de malware FiXS ATM. Malware-ul încorporat este apoi decodat cu instrucțiuni XOR, cheia fiind schimbată în fiecare buclă prin intermediul funcției decode_XOR_key(). În cele din urmă, programul malware FiXS ATM este lansat prin intermediul API-ului Windows „ShellExecute”.

Malware-ul folosește API-urile CEN XFS pentru a interacționa cu ATM-ul, ceea ce îl face compatibil cu majoritatea ATM-urilor bazate pe Windows, cu ajustări minime. Infractorii cibernetici pot folosi o tastatură externă pentru a interacționa cu malware-ul, iar mecanismele de conectare interceptează apăsările de taste. Într-o fereastră de 30 de minute după repornirea bancomatului, infractorii pot profita de vulnerabilitatea sistemului și pot folosi tastatura externă pentru a „scuipa bani” de la bancomat.

Cercetătorii nu sunt siguri de vectorul inițial al infecției. Cu toate acestea, deoarece FiXS utilizează o tastatură externă similară cu Ploutus, se crede că urmează o metodologie similară. Când vine vorba de Ploutus, o persoană cu acces fizic la bancomat conectează o tastatură externă la ATM pentru a iniția atacul.

Jackpotting este încă popular printre grupurile de criminali cibernetici

Întrucât ATM-urile rămân o componentă crucială a sistemului financiar pentru economiile bazate pe numerar, atacurile malware care vizează aceste dispozitive sunt încă răspândite. Prin urmare, este esențial ca instituțiile financiare și băncile să anticipeze potențiale compromisuri ale dispozitivelor și să se concentreze pe optimizarea și îmbunătățirea răspunsurilor lor la aceste tipuri de amenințări. Aceste atacuri au avut un impact semnificativ asupra diferitelor regiuni, inclusiv America Latină, Europa, Asia și Statele Unite.

Riscurile asociate cu aceste atacuri sunt deosebit de mari pentru modelele de bancomate mai vechi, deoarece acestea sunt dificil de reparat sau înlocuit și rareori folosesc software de securitate pentru a preveni degradarea în continuare a performanței lor deja slabe.

Asociația Europeană pentru Tranzacții Securizate a raportat un total de 202 de atacuri de jackpotting de succes (ATM Malware & Logical Attacks) care vizează instituțiile financiare din UE în 2020, ducând la pierderi de 1,4 milioane de dolari sau aproximativ 7.000 de dolari per atac, conform unui raport din 2022 realizat de Banca Rezervei Federale din Atlanta.