ATM恶意软件FiXS：墨西哥的现金黑客

关键要点

• 新型ATM恶意软件FiXS正在墨西哥进行攻击。
• 攻击者可以在ATM重新启动后30分钟内提取现金。
• 该恶意软件使用一种名为CEN XFS的ATM中间件。
• 过去两年ATM和销售点恶意软件的有效设备数量显著增加。

一种名为FiXS的先进ATM恶意软件在墨西哥的一系列攻击中被使用，使网络犯罪分子可以按需提取现金。这类攻击自2月份以来持续发生，研究人员尚不清楚攻击者如何将FiXS恶意软件安装到目标ATM上。

根据MetabaseQ的报告，这些攻击的策略与2013年以来针对拉丁美洲银行的另一种ATM恶意软件Ploutus相似。2021年，发现了该恶意软件的更新版本，特别针对巴西厂商Itautec制造的ATM，并在拉丁美洲地区广泛传播。

FiXS恶意软件是全新的，目前正在影响墨西哥的银行，Metabase Q的Ocelot团队成员Jesus Dominguez和GerardoCorona表示。

FiXS恶意软件的名称由其目标的无Vendor依赖ATM中间件CENXFS而得。研究人员指出，网络犯罪分子如何进入系统以注入恶意软件到ATM中尚不清楚。然而，FiXS一旦安装，攻击者可以利用构成的协议和API套件。恶意软件的用户界面允许远程网络犯罪分子编程ATM进行现金发放，这种行为也被称为“jackpotting”。

“jackpotting”一词源于赌博中的意外收获，指的是犯罪分子能够通过物理连接、远程恶意软件或两者的组合，从银行ATM中提取现金的行为。

FiXS恶意软件的工作原理

根据MetabaseQ的说法，FiXS恶意软件的特征包括允许攻击者在ATM重启后30分钟内提取现金。犯罪分子必须通过外部键盘访问目标ATM。与恶意软件相关的元数据使用俄语或西里尔字母。

攻击链从一个恶意软件投放器（conhost.exe）开始。接下来，投放器能够识别系统的临时目录以存储FiXS ATM恶意软件的负载。

研究人员表示：“嵌入的恶意软件使用XOR指令进行解码，其中密钥在每个循环中通过decode_XOR_key()函数改变。”

“最后，通过’ShellExecute’ Windows API启动FiXS ATM恶意软件，”研究人员写道。

“FiXS使用
API实现，能够在每个基于Windows的ATM上运行，只需少量调整，类似于等其他恶意软件。”研究人员补充道：“FiXS与犯罪分子之间的交互通过外部键盘进行，类似于其他病毒，这可以通过识别拦截击键的钩子机制来确认。”

犯罪分子通过外部键盘能够利用ATM重启机会，在系统重新上线后的30分钟内“吐出现金”。

“尚不清楚初始感染的传播向量。不过，由于FiXS利用外部键盘（类似于Ploutus），我们预计它遵循类似的方法。在Ploutus的情况下，能够物理连接外部键盘的人在ATM上连接后进行攻击，”研究人员写道。

ATM jackpotting的普遍性

在另一份报告中，研究人员表示，在2022年前八个月，受ATM和销售点恶意软件（jackpotting）影响的独特设备数量较2020年同期增长了19%，较2021年增长了近4%。根据，恶意软件变种HydraPOS和AbaddonPOS是最常用的。

受影响最严重的地区包括拉丁美洲、欧洲、亚洲和美国。Kaspersky表示：“风险在老旧ATM型号中最高，因为这些设备难以维修或更换，并且很少使用安全软件来避免进一步降低其已经低下的性能。”

“跟踪EU金融机构ATM欺诈攻击