Новый штамм вредоносной программы для банкоматов, получивший название FiXS, был замечен в атаках на мексиканские банки с начала февраля 2023 года.
«Вредонос скрыт внутри другой программы, не выглядящей опасной» - говорится в отчете латиноамериканской компании по кибербезопасности Metabase Q, предоставленном The Hacker News.
Помимо того, что вредонос на базе Windows требует взаимодействия с внешней клавиатурой, она также не зависит от производителя и способна заразить любой банкомат, поддерживающий CEN/XFS (сокращение от eXtensions for Financial Services).
Точный способ компрометации остается неизвестным, но Дэн Регаладо из Metabase Q сообщил изданию The Hacker News, что, скорее всего, «злоумышленники нашли способ взаимодействия с банкоматом через сенсорный экран».
Считается, что FiXS также похож на другой вид вредоносного ПО для банкоматов под кодовым названием Ploutus, которое позволяло злоумышленникам извлекать наличные из банкоматов с помощью внешней клавиатуры или отправки SMS-сообщения.
Одной из отличительных особенностей FiXS является способность выдавать деньги через 30 минут после последней перезагрузки банкомата, используя GetTickCount API.
Образец, проанализированный Metabase Q, поставляется через дроппер, известный как Neshta (conhost.exe), файловый вирус, закодированный в Delphi, который был первоначально замечен в 2003 году.
«FiXS реализован с помощью CEN XFS APIs, что помогает ему работать в основном на каждом банкомате на базе Windows с небольшими корректировками, подобно другим вредоносным программам, таким как RIPPER» - заявили в компании по кибербезопасности. «Способ взаимодействия FiXS с преступником - через внешнюю клавиатуру».
FiXS становится последней в длинном списке вредоносных программ, таких как Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer, и ATMii, которые нацелены на банкоматы для выкачивания денег.
Впоследствии Prilex также превратился в модульную вредоносную программу для точек продаж (PoS), позволяющую осуществлять мошенничество с кредитными картами различными методами, включая блокирование бесконтактных платежных операций.
«"Киберпреступники, компрометирующие сети, преследуют ту же конечную цель, что и те, кто осуществляет атаки через физический доступ: выдача наличных» - сообщается в подробном отчете Trend Micro о вредоносном ПО для банкоматов, опубликованном в сентябре 2017 года.
«Однако вместо того, чтобы вручную устанавливать вредоносное ПО на банкоматы через USB или CD, преступникам больше не нужно подходить к машинам. У них есть резервные денежные мулы, которые забирают наличные и уходят».
Источник: https://thehackernews.com