FiXS Malware
Siber suçlular, saldırganların hedeflenen makinelerden para dağıtmasına olanak tanıyan ve FiXS olarak bilinen yeni bir kötü amaçlı yazılım türüyle Meksika'daki ATM'leri hedefliyor. Bu kötü amaçlı yazılım, Şubat 2023'te başlayan bir dizi saldırıda kullanıldı.
Güvenlik uzmanları tarafından hazırlanan bir rapora göre, bu saldırılarda kullanılan taktikler, 2013'ten beri Latin Amerika bankalarını hedef alan başka bir kötü amaçlı ATM türü olan Ploutus'un önceki saldırılarında kullanılanlara benzer. Ploutus'un özellikle ATM'leri hedefleyen güncellenmiş bir sürümü Brezilyalı satıcı Itautec tarafından üretilen, 2021'den beri Latin Amerika'da yaygın.
FiXS kötü amaçlı yazılımı yeni çıktı ve şu anda Meksika bankalarını etkiliyor. ATM'lere yüklendikten sonra, CEN XFS olarak bilinen ve siber suçluların ATM'leri harici bir klavye veya SMS mesajı yoluyla nakit dağıtacak şekilde programlamasına olanak tanıyan bir dizi protokol ve API'den yararlanır. Bu işlem ikramiye olarak bilinir. Bu tür bir saldırının hem bankalar hem de müşterileri için önemli mali kayıplara yol açabileceği ve ATM ağlarının güvenliği konusunda endişe yaratabileceği dikkat çekmektedir.
FiXS Kötü Amaçlı Yazılımının Saldırı Zinciri
FiXS kötü amaçlı yazılımının ana özelliklerinden biri, tehdit aktörünün makine yeniden başlatıldıktan 30 dakika sonra ATM'den nakit dağıtmasına olanak sağlamasıdır. Ancak, suçluların harici bir klavye aracılığıyla ATM'ye erişimi olmalıdır.
Kötü amaçlı yazılım, Rusça veya Kiril alfabesinde meta veriler içerir ve saldırı zinciri, 'conhost.exe' adlı bir kötü amaçlı yazılım aracıyla başlar. Bu damlalık, sistemin geçici dizinini tanımlar ve FiXS ATM kötü amaçlı yazılım yükünü burada depolar. Gömülü kötü amaçlı yazılımın kodu daha sonra, decode_XOR_key() işlevi aracılığıyla her döngüde anahtar değiştirilerek XOR talimatıyla çözülür. Son olarak, FiXS ATM kötü amaçlı yazılımı 'ShellExecute' Windows API aracılığıyla başlatılır.
Kötü amaçlı yazılım, ATM ile etkileşime geçmek için CEN XFS API'lerini kullanır ve bu da ATM'yi minimum ayarlamayla çoğu Windows tabanlı ATM ile uyumlu hale getirir. Siber suçlular, kötü amaçlı yazılımla etkileşim kurmak için harici bir klavye kullanabilir ve kancalama mekanizmaları, tuş vuruşlarını engeller. ATM yeniden başlatıldıktan sonraki 30 dakikalık bir süre içinde, suçlular sistemin güvenlik açığından yararlanabilir ve ATM'den 'para tükürmek' için harici klavyeyi kullanabilir.
Araştırmacılar, enfeksiyon için ilk vektörden emin değiller. Ancak FiXS, Ploutus'a benzer bir harici klavye kullandığından, onun da benzer bir metodoloji izlediğine inanılmaktadır. Ploutus'a gelince, vezne makinesine fiziksel erişimi olan bir kişi, saldırıyı başlatmak için ATM'ye harici bir klavye bağlar.
İkramiye Siber Suç Grupları Arasında Hala Popüler
ATM'ler, nakit bazlı ekonomiler için finansal sistemin önemli bir bileşeni olmaya devam ettiğinden, bu cihazları hedef alan kötü amaçlı yazılım saldırıları hala yaygındır. Bu nedenle, finansal kurumların ve bankaların potansiyel cihaz ihlallerini önceden tahmin etmeleri ve bu tür tehditlere karşı tepkilerini optimize etmeye ve iyileştirmeye odaklanmaları çok önemlidir. Bu saldırılar Latin Amerika, Avrupa, Asya ve Amerika Birleşik Devletleri dahil olmak üzere çeşitli bölgeleri önemli ölçüde etkiledi.
Bu saldırılarla ilişkili riskler, tamir edilmeleri veya değiştirilmeleri zor olduğundan ve zaten düşük olan performanslarının daha da düşmesini önlemek için nadiren güvenlik yazılımı kullandıklarından, eski ATM modelleri için özellikle yüksektir.
Avrupa Güvenli İşlemler Birliği, 2020'de AB'deki finansal kurumları hedef alan ve 1,4 milyon ABD Doları veya saldırı başına yaklaşık 7.000 ABD Doları kayıpla sonuçlanan toplam 202 başarılı ikramiye saldırısı (ATM Kötü Amaçlı Yazılım ve Mantıksal Saldırılar) bildirdi. Atlanta Federal Rezerv Bankası.
