FiXS Malware

సైబర్ నేరగాళ్లు మెక్సికోలోని ATMలను FiXS అని పిలవబడే మాల్వేర్ యొక్క కొత్త స్ట్రెయిన్‌తో లక్ష్యంగా చేసుకున్నారు, ఇది దాడి చేసేవారిని లక్ష్యంగా చేసుకున్న యంత్రాల నుండి నగదును పంపిణీ చేయడానికి అనుమతిస్తుంది. ఈ మాల్వేర్ ఫిబ్రవరి 2023లో ప్రారంభమైన దాడుల శ్రేణిలో ఉపయోగించబడింది.

భద్రతా నిపుణుల నివేదిక ప్రకారం, ఈ దాడులలో ఉపయోగించిన వ్యూహాలు 2013 నుండి లాటిన్ అమెరికన్ బ్యాంకులను లక్ష్యంగా చేసుకున్న మరొక రకమైన ATM మాల్వేర్ అయిన Ploutus ద్వారా మునుపటి దాడులలో ఉపయోగించిన వ్యూహాల మాదిరిగానే ఉన్నాయి. Ploutus యొక్క నవీకరించబడిన సంస్కరణ, ఇది ప్రత్యేకంగా ATMలను లక్ష్యంగా చేసుకుంటుంది. బ్రెజిలియన్ విక్రేత ఇటౌటెక్ ద్వారా ఉత్పత్తి చేయబడింది, ఇది 2021 నుండి లాటిన్ అమెరికా అంతటా ప్రబలంగా ఉంది.

FiXS మాల్వేర్ ఇప్పుడే ముగిసింది మరియు ప్రస్తుతం మెక్సికన్ బ్యాంకులను ప్రభావితం చేస్తోంది. ATMలలో ఇన్‌స్టాల్ చేసిన తర్వాత, ఇది CEN XFS అని పిలవబడే ప్రోటోకాల్‌లు మరియు APIల యొక్క ప్రయోజనాన్ని పొందుతుంది, ఇది బాహ్య కీబోర్డ్ ద్వారా లేదా SMS సందేశం ద్వారా నగదును పంపిణీ చేయడానికి ATMలను ప్రోగ్రామ్ చేయడానికి సైబర్ నేరస్థులను అనుమతిస్తుంది. ఈ ప్రక్రియను జాక్‌పాటింగ్ అంటారు. ఈ రకమైన దాడి బ్యాంకులు మరియు వారి ఖాతాదారులకు గణనీయమైన ఆర్థిక నష్టాలను కలిగిస్తుంది, అలాగే ATM నెట్‌వర్క్‌ల భద్రత గురించి ఆందోళనలను పెంచుతుంది.

FiXS మాల్వేర్ యొక్క అటాక్ చైన్

FiXS మాల్వేర్ యొక్క ప్రధాన లక్షణాలలో ఒకటి, ఇది యంత్రాన్ని రీబూట్ చేసిన 30 నిమిషాల తర్వాత ATM నుండి నగదును పంపిణీ చేయడానికి ముప్పు నటులను అనుమతిస్తుంది. అయితే, నేరస్థులు తప్పనిసరిగా బాహ్య కీబోర్డ్ ద్వారా ATMకి యాక్సెస్ కలిగి ఉండాలి.

మాల్వేర్ రష్యన్ లేదా సిరిలిక్ స్క్రిప్ట్‌లో మెటాడేటాను కలిగి ఉంది మరియు దాడి గొలుసు 'conhost.exe' అనే మాల్వేర్ డ్రాపర్‌తో ప్రారంభమవుతుంది. ఈ డ్రాపర్ సిస్టమ్ యొక్క తాత్కాలిక డైరెక్టరీని గుర్తిస్తుంది మరియు అక్కడ FiXS ATM మాల్వేర్ పేలోడ్‌ను నిల్వ చేస్తుంది. ఎంబెడెడ్ మాల్వేర్ XOR సూచనతో డీకోడ్ చేయబడుతుంది, ప్రతి లూప్‌లో decode_XOR_key() ఫంక్షన్ ద్వారా కీ మార్చబడుతుంది. చివరగా, FiXS ATM మాల్వేర్ 'ShellExecute' Windows API ద్వారా ప్రారంభించబడింది.

మాల్వేర్ ATMతో పరస్పర చర్య చేయడానికి CEN XFS APIలను ఉపయోగిస్తుంది, ఇది చాలా Windows-ఆధారిత ATMలకు కనీస సర్దుబాట్లతో అనుకూలతను కలిగిస్తుంది. మాల్వేర్‌తో పరస్పర చర్య చేయడానికి సైబర్ నేరస్థులు బాహ్య కీబోర్డ్‌ను ఉపయోగించవచ్చు మరియు హుకింగ్ మెకానిజమ్‌లు కీస్ట్రోక్‌లను అడ్డగిస్తాయి. ATM రీబూట్ అయిన తర్వాత 30 నిమిషాల విండోలో, నేరస్థులు సిస్టమ్ యొక్క దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు మరియు ATM నుండి 'డబ్బును ఉమ్మివేయడానికి' బాహ్య కీబోర్డ్‌ను ఉపయోగించవచ్చు.

ఇన్ఫెక్షన్ కోసం ప్రారంభ వెక్టర్ గురించి పరిశోధకులకు ఖచ్చితంగా తెలియదు. అయినప్పటికీ, FiXS ప్లౌటస్ మాదిరిగానే బాహ్య కీబోర్డ్‌ను ఉపయోగిస్తుంది కాబట్టి, ఇది కూడా ఇదే పద్ధతిని అనుసరిస్తుందని నమ్ముతారు. ప్లౌటస్ విషయానికి వస్తే, టెల్లర్ మెషీన్‌కు భౌతిక ప్రాప్యత ఉన్న వ్యక్తి దాడిని ప్రారంభించడానికి బాహ్య కీబోర్డ్‌ను ATMకి కనెక్ట్ చేస్తాడు.

జాక్‌పాటింగ్ ఇప్పటికీ సైబర్‌క్రిమినల్ గ్రూపులలో ప్రసిద్ధి చెందింది

నగదు ఆధారిత ఆర్థిక వ్యవస్థల కోసం ATMలు ఆర్థిక వ్యవస్థలో కీలకమైన అంశంగా మిగిలిపోయినందున, ఈ పరికరాలను లక్ష్యంగా చేసుకునే మాల్వేర్ దాడులు ఇప్పటికీ ప్రబలంగా ఉన్నాయి. అందువల్ల, ఆర్థిక సంస్థలు మరియు బ్యాంకులు సంభావ్య పరికర రాజీలను అంచనా వేయడం మరియు ఈ రకమైన బెదిరింపులకు వారి ప్రతిస్పందనలను ఆప్టిమైజ్ చేయడం మరియు మెరుగుపరచడంపై దృష్టి పెట్టడం చాలా కీలకం. ఈ దాడులు లాటిన్ అమెరికా, యూరప్, ఆసియా మరియు యునైటెడ్ స్టేట్స్‌తో సహా వివిధ ప్రాంతాలపై గణనీయమైన ప్రభావాన్ని చూపాయి.

ఈ దాడులతో సంబంధం ఉన్న ప్రమాదాలు పాత ATM మోడల్‌లకు చాలా ఎక్కువగా ఉంటాయి, ఎందుకంటే అవి రిపేర్ చేయడం లేదా భర్తీ చేయడం సవాలుగా ఉంటాయి మరియు వాటి ఇప్పటికే పేలవమైన పనితీరు మరింత క్షీణించకుండా నిరోధించడానికి భద్రతా సాఫ్ట్‌వేర్‌ను అరుదుగా ఉపయోగిస్తాయి.

యూరోపియన్ అసోసియేషన్ ఫర్ సెక్యూర్ ట్రాన్సాక్షన్స్ 2020లో EUలోని ఆర్థిక సంస్థలను లక్ష్యంగా చేసుకుని మొత్తం 202 విజయవంతమైన జాక్‌పాటింగ్ దాడులను (ATM మాల్వేర్ & లాజికల్ అటాక్స్) నివేదించింది, ఫలితంగా 2022 నివేదిక ప్రకారం $1.4 మిలియన్లు లేదా ఒక్కో దాడికి దాదాపు $7,000 నష్టం వాటిల్లింది. ఫెడరల్ రిజర్వ్ బ్యాంక్ ఆఫ్ అట్లాంటా.