拉丁美洲的罪犯通过新型FiXS恶意软件“打劫

ATM恶意软件FiXS:墨西哥的现金黑客

关键要点

  • 新型ATM恶意软件FiXS正在墨西哥进行攻击。
  • 攻击者可以在ATM重新启动后30分钟内提取现金。
  • 该恶意软件使用一种名为CEN XFS的ATM中间件。
  • 过去两年ATM和销售点恶意软件的有效设备数量显著增加。

一种名为FiXS的先进ATM恶意软件在墨西哥的一系列攻击中被使用,使网络犯罪分子可以按需提取现金。这类攻击自2月份以来持续发生,研究人员尚不清楚攻击者如何将FiXS恶意软件安装到目标ATM上。

根据MetabaseQ的报告,这些攻击的策略与2013年以来针对拉丁美洲银行的另一种ATM恶意软件Ploutus相似。2021年,发现了该恶意软件的更新版本,特别针对巴西厂商Itautec制造的ATM,并在拉丁美洲地区广泛传播。

FiXS恶意软件是全新的,目前正在影响墨西哥的银行,Metabase Q的Ocelot团队成员Jesus Dominguez和GerardoCorona表示。

FiXS恶意软件的名称由其目标的无Vendor依赖ATM中间件CENXFS而得。研究人员指出,网络犯罪分子如何进入系统以注入恶意软件到ATM中尚不清楚。然而,FiXS一旦安装,攻击者可以利用构成的协议和API套件。恶意软件的用户界面允许远程网络犯罪分子编程ATM进行现金发放,这种行为也被称为“jackpotting”。

“jackpotting”一词源于赌博中的意外收获,指的是犯罪分子能够通过物理连接、远程恶意软件或两者的组合,从银行ATM中提取现金的行为。

FiXS恶意软件的工作原理

根据MetabaseQ的说法,FiXS恶意软件的特征包括允许攻击者在ATM重启后30分钟内提取现金。犯罪分子必须通过外部键盘访问目标ATM。与恶意软件相关的元数据使用俄语或西里尔字母。

攻击链从一个恶意软件投放器(conhost.exe)开始。接下来,投放器能够识别系统的临时目录以存储FiXS ATM恶意软件的负载。

研究人员表示:“嵌入的恶意软件使用XOR指令进行解码,其中密钥在每个循环中通过decode_XOR_key()函数改变。”

“最后,通过’ShellExecute’ Windows API启动FiXS ATM恶意软件,”研究人员写道。

“FiXS使用
API实现,能够在每个基于Windows的ATM上运行,只需少量调整,类似于等其他恶意软件。”研究人员补充道:“FiXS与犯罪分子之间的交互通过外部键盘进行,类似于其他病毒,这可以通过识别拦截击键的钩子机制来确认。”

犯罪分子通过外部键盘能够利用ATM重启机会,在系统重新上线后的30分钟内“吐出现金”。

“尚不清楚初始感染的传播向量。不过,由于FiXS利用外部键盘(类似于Ploutus),我们预计它遵循类似的方法。在Ploutus的情况下,能够物理连接外部键盘的人在ATM上连接后进行攻击,”研究人员写道。

ATM jackpotting的普遍性

在另一份报告中,研究人员表示,在2022年前八个月,受ATM和销售点恶意软件(jackpotting)影响的独特设备数量较2020年同期增长了19%,较2021年增长了近4%。根据,恶意软件变种HydraPOS和AbaddonPOS是最常用的。

受影响最严重的地区包括拉丁美洲、欧洲、亚洲和美国。Kaspersky表示:“风险在老旧ATM型号中最高,因为这些设备难以维修或更换,并且很少使用安全软件来避免进一步降低其已经低下的性能。”

“跟踪EU金融机构ATM欺诈攻击

Leave a Reply

Your email address will not be published. Required fields are marked *