FiXS Malware
Cyberbrottslingar har riktat sig mot uttagsautomater i Mexiko med en ny skadlig skadlig stam, känd som FiXS, som gör det möjligt för angripare att ta ut pengar från de riktade maskinerna. Denna skadliga programvara har använts i en serie attacker som började i februari 2023.
Enligt en rapport från säkerhetsexperter liknar taktiken som används i dessa attacker de som använts vid tidigare attacker av Ploutus, en annan typ av skadlig programvara för bankomater som har riktats mot latinamerikanska banker sedan 2013. En uppdaterad version av Ploutus , som specifikt riktar sig till bankomater. producerad av den brasilianska leverantören Itautec, har varit utbredd i Latinamerika sedan 2021.
FiXS-skadlig programvara är precis ute och påverkar för närvarande mexikanska banker. När den väl har installerats på uttagsautomaterna, drar den fördel av en uppsättning protokoll och API:er som kallas CEN XFS, som gör det möjligt för cyberbrottslingar att programmera uttagsautomaterna att dela ut kontanter, antingen via ett externt tangentbord eller via SMS. Denna process är känd som jackpottning. Det är anmärkningsvärt att denna typ av attack kan orsaka betydande ekonomiska förluster för både bankerna och deras kunder, samt ge upphov till oro för säkerheten i bankomatnätverk.
Attackkedjan för FiXS Malware
En av huvudfunktionerna hos FiXS skadliga program är att den gör det möjligt för hotaktören att ta ut kontanter från uttagsautomaten 30 minuter efter att maskinen har startats om. Brottslingar måste dock ha tillgång till bankomaten via ett externt tangentbord.
Skadlig programvara innehåller metadata i ryskt eller kyrilliskt skript, och attackkedjan börjar med en skadlig programvara som heter 'conhost.exe'. Denna dropper identifierar systemets temporära katalog och lagrar FiXS ATM skadlig programvara där. Den inbäddade skadliga programvaran avkodas sedan med XOR-instruktion, där nyckeln ändras i varje loop via funktionen decode_XOR_key(). Slutligen lanseras FiXS ATM malware via 'ShellExecute' Windows API.
Skadlig programvara använder CEN XFS API:er för att interagera med ATM, vilket gör den kompatibel med de flesta Windows-baserade ATM:er med minimala justeringar. Cyberkriminella kan använda ett externt tangentbord för att interagera med skadlig programvara, och hooking-mekanismerna avlyssnar tangenttryckningarna. Inom ett 30-minutersfönster efter att bankomaten startat om kan brottslingar dra fördel av systemets sårbarhet och använda det externa tangentbordet för att "spotta ut pengar" från bankomaten.
Forskare är osäkra på den initiala vektorn för infektion. Men eftersom FiXS använder ett externt tangentbord som liknar Ploutus, tros det också följa en liknande metod. När det gäller Ploutus ansluter en person med fysisk tillgång till bankautomaten ett externt tangentbord till bankomaten för att initiera attacken.
Jackpotting är fortfarande populärt bland cyberkriminella grupper
Eftersom uttagsautomater förblir en avgörande komponent i det finansiella systemet för kontantbaserade ekonomier, är attacker med skadlig programvara som riktar sig mot dessa enheter fortfarande utbredd. Därför är det avgörande för finansinstitutioner och banker att förutse potentiella enhetskompromisser och koncentrera sig på att optimera och förbättra sina svar på dessa typer av hot. Dessa attacker har haft en betydande inverkan på olika regioner, inklusive Latinamerika, Europa, Asien och USA.
Riskerna förknippade med dessa attacker är särskilt höga för äldre ATM-modeller, eftersom de är utmanande att reparera eller ersätta och sällan använder säkerhetsprogramvara för att förhindra ytterligare försämring av deras redan dåliga prestanda.
European Association for Secure Transactions har rapporterat totalt 202 framgångsrika jackpottattacker (ATM Malware & Logical Attacks) riktade mot finansinstitutioner i EU under 2020, vilket resulterade i förluster på 1,4 miljoner USD, eller cirka 7 000 USD per attack, enligt en rapport från 2022 av Federal Reserve Bank of Atlanta.
