Metabase Q, firma zajmująca się cyberbezpieczeństwem, właśnie udokumentowała nową rodzinę złośliwego oprogramowania atakującą bankomaty – daleko od nas, bo w Ameryce Łacińskiej. Zła nowina jest taka, że nic nie stoi na przeszkodzie, by to oprogramowanie było używane również w Europie.
Zagrożenie, nazwane FiXS, zawiera rosyjskie metadane. Pierwotnie skierowane było na banki w Meksyku, ale okazało się, że funkcjonuje niezależnie od dostawcy i działa na każdym bankomacie obsługującym CEN XFS. Ten ostatni to interfejs zapewniający architekturę klient-serwer dla aplikacji finansowych na platformie Microsoft Windows, zwłaszcza urządzeń peryferyjnych, takich jak terminale EFTPOS i bankomaty, które są unikalne dla branży finansowej. Jest to międzynarodowy standard promowany przez Europejski Komitet Normalizacyjny.
Podobnie jak złośliwe oprogramowanie Ploutus ATM, FiXS wymaga użycia zewnętrznej klawiatury, co oznacza, że jest wdrażane przez cyberprzestępców poprzez fizyczny dostęp do bankomatów.
Według Metabase Q, która dostarcza rozwiązania i usługi cyberbezpieczeństwa organizacjom w Ameryce Łacińskiej, FiXS ukrywa się w pozornie nieszkodliwym programie, instruuje zainfekowaną maszynę, aby wydała pieniądze 30 minut po ostatnim ponownym uruchomieniu i czeka na załadowanie kaset przed wydaniem.
Złośliwe oprogramowanie jest instalowane w dropperze, który dekoduje malware za pomocą instrukcji XOR i przechowuje go w katalogu tymczasowym systemu. FiXS jest następnie wykonywany przez interfejs API systemu Windows ShellExecute.
Zaimplementowane za pomocą interfejsów API CEN XFS, złośliwe oprogramowanie może działać na każdym bankomacie opartym na systemie Windows, z kilkoma modyfikacjami.
FiXS działa w nieskończonej pętli, aby zidentyfikować właściwe wejście klawiatury w celu wyświetlenia okna, wyświetlenia informacji o jednostce gotówkowej, zamknięcia sesji i zabicia procesu lub wydania pieniędzy.
W przeciwieństwie do Ploutus lub innego wyrafinowanego złośliwego oprogramowania bankomatowego, zagrożenie nie posiada bogatego interfejsu i może wyświetlać jedynie numery banknotów w każdej kasecie, w koszu oraz w koszu odrzuconym.
Ponieważ program instruuje bankomat, aby wypłacił pieniądze 30 minut po ostatnim ponownym uruchomieniu, Metabase Q uważa, że pieniądze są pobierane przez tzw. „muły” wkrótce po instalacji oprogramowania.
„Biorąc pod uwagę znaczenie bankomatów w łańcuchu systemu finansowego dla gospodarek opartych na gotówce, ataki złośliwego oprogramowania nieprędko się zakończą. Niezwykle ważne jest, aby banki i instytucje finansowe brały pod uwagę potencjalne zagrożenia dla urządzeń i skupiały się na skróceniu czasu wykrywania i reagowania na tego typu zagrożenia” – zauważa Metabase.
Na naszym portalu nieczęsto piszemy o fizycznych atakach. Ostatni raz ponad trzy lata temu pisaliśmy o trendach w hackowaniu bankomatów. Tekst ten znajdziesz tutaj.