FiXS Malware

Les cybercriminels ciblent les guichets automatiques au Mexique avec une nouvelle souche de logiciels malveillants connue sous le nom de FiXS, qui permet aux attaquants de distribuer de l'argent à partir des machines ciblées. Ce logiciel malveillant a été utilisé dans une série d'attaques qui ont débuté en février 2023.

Selon un rapport d'experts en sécurité, les tactiques utilisées dans ces attaques sont similaires à celles utilisées lors d'attaques précédentes par Ploutus, un autre type de malware ATM qui cible les banques latino-américaines depuis 2013. Une version mise à jour de Ploutus , qui cible spécifiquement les distributeurs automatiques de billets. produit par le fournisseur brésilien Itautec, est répandu en Amérique latine depuis 2021.

Le malware FiXS vient de sortir et affecte actuellement les banques mexicaines. Une fois installé sur les DAB, il profite d'une suite de protocoles et d'API connue sous le nom de CEN XFS, qui permet aux cybercriminels de programmer les DAB pour distribuer de l'argent, soit via un clavier externe, soit par messagerie SMS. Ce processus est connu sous le nom de jackpot. Il convient de noter que ce type d'attaque peut entraîner des pertes financières importantes tant pour les banques que pour leurs clients, ainsi que soulever des inquiétudes quant à la sécurité des réseaux de guichets automatiques.

La chaîne d'attaque du malware FiXS

L'une des principales caractéristiques du logiciel malveillant FiXS est qu'il permet à l'auteur de la menace de retirer de l'argent du guichet automatique 30 minutes après le redémarrage de la machine. Cependant, les criminels doivent avoir accès au guichet automatique via un clavier externe.

Le logiciel malveillant contient des métadonnées en écriture russe ou cyrillique, et la chaîne d'attaque commence par un compte-gouttes de logiciels malveillants appelé "conhost.exe". Ce compte-gouttes identifie le répertoire temporaire du système et y stocke la charge utile du logiciel malveillant FiXS ATM. Le logiciel malveillant intégré est ensuite décodé avec l'instruction XOR, la clé étant modifiée à chaque boucle via la fonction decode_XOR_key(). Enfin, le malware FiXS ATM est lancé via l'API Windows "ShellExecute".

Le logiciel malveillant utilise les API CEN XFS pour interagir avec le guichet automatique, ce qui le rend compatible avec la plupart des guichets automatiques basés sur Windows avec des ajustements minimes. Les cybercriminels peuvent utiliser un clavier externe pour interagir avec le logiciel malveillant, et les mécanismes d'accrochage interceptent les frappes. Dans une fenêtre de 30 minutes après le redémarrage du guichet automatique, les criminels peuvent tirer parti de la vulnérabilité du système et utiliser le clavier externe pour "cracher de l'argent" du guichet automatique.

Les chercheurs ne sont pas sûrs du vecteur initial de l'infection. Cependant, puisque FiXS utilise un clavier externe similaire à Ploutus, on pense également qu'il suit une méthodologie similaire. En ce qui concerne Ploutus, une personne ayant un accès physique au guichet connecte un clavier externe au guichet automatique pour lancer l'attaque.

Le jackpot est toujours populaire parmi les groupes cybercriminels

Comme les guichets automatiques restent un élément crucial du système financier pour les économies basées sur les espèces, les attaques de logiciels malveillants ciblant ces appareils sont toujours répandues. Par conséquent, il est crucial pour les institutions financières et les banques d'anticiper les compromissions potentielles des appareils et de se concentrer sur l'optimisation et l'amélioration de leurs réponses à ces types de menaces. Ces attaques ont eu un impact significatif sur diverses régions, dont l'Amérique latine, l'Europe, l'Asie et les États-Unis.

Les risques associés à ces attaques sont particulièrement élevés pour les anciens modèles de guichets automatiques, car ils sont difficiles à réparer ou à remplacer et utilisent rarement des logiciels de sécurité pour empêcher une dégradation supplémentaire de leurs performances déjà médiocres.

Selon un rapport de 2022 de la Banque fédérale de réserve d'Atlanta.