FiXS Malware

サイバー犯罪者は、攻撃者が標的のマシンから現金を引き出すことを可能にする FiXS として知られるマルウェアの新種を使用して、メキシコの ATM を標的にしています。このマルウェアは、2023 年 2 月に始まった一連の攻撃で使用されています。

セキュリティの専門家によるレポートによると、これらの攻撃で使用された戦術は、2013 年からラテンアメリカの銀行を標的としている別のタイプの ATM マルウェアである Ploutus による以前の攻撃で使用されたものと似ています。特に ATM を標的とするPloutusの更新バージョンブラジルのベンダー Itautec によって作成され、2021 年以降、ラテンアメリカ全体で普及しています。

FiXS マルウェアは出てきたばかりで、現在メキシコの銀行に影響を与えています。 ATM にインストールすると、CEN XFS として知られる一連のプロトコルと API を利用して、サイバー犯罪者が ATM をプログラムして、外部キーボードまたは SMS メッセージングを介して現金を払い出せるようにします。このプロセスは、ジャックポットとして知られています。このタイプの攻撃は、銀行とその顧客の両方に重大な経済的損失をもたらすだけでなく、ATM ネットワークのセキュリティに関する懸念を引き起こす可能性があることは注目に値します。

FiXS マルウェアの攻撃チェーン

FiXS マルウェアの主な機能の 1 つは、マシンの再起動から 30 分後に攻撃者が ATM から現金を引き出せるようにすることです。ただし、犯罪者は外部キーボードを介して ATM にアクセスできる必要があります。

マルウェアにはロシア語またはキリル文字のメタデータが含まれており、攻撃チェーンは「conhost.exe」と呼ばれるマルウェア ドロッパーから始まります。このドロッパーは、システムの一時ディレクトリを特定し、そこに FiXS ATM マルウェア ペイロードを保存します。埋め込まれたマルウェアは XOR 命令でデコードされ、decode_XOR_key() 関数を介してループごとにキーが変更されます。最後に、「ShellExecute」Windows API を介して FiXS ATM マルウェアが起動されます。

このマルウェアは、CEN XFS API を使用して ATM とやり取りするため、最小限の調整でほとんどの Windows ベースの ATM と互換性があります。サイバー犯罪者は外付けキーボードを使用してマルウェアと対話し、フック メカニズムがキーストロークを傍受します。 ATM が再起動してから 30 分以内に、犯罪者はシステムの脆弱性を利用して、外部キーボードを使用して ATM から「お金を吐き出す」ことができます。

研究者は、感染の最初のベクターについて確信が持てません。ただし、FiXS は Ploutus と同様の外付けキーボードを使用するため、同様の方法論に従うと考えられています。 Ploutus に関して言えば、現金自動預け払い機に物理的にアクセスできる人物が、外部キーボードを ATM に接続して攻撃を開始します。

ジャックポッティングはサイバー犯罪グループの間で依然として人気があります

ATM は依然として現金ベースの経済の金融システムの重要なコンポーネントであるため、これらのデバイスを標的とするマルウェア攻撃は依然として蔓延しています。したがって、金融機関や銀行は、潜在的なデバイス侵害を予測し、これらの種類の脅威への対応を最適化および改善することに集中することが重要です。これらの攻撃は、ラテンアメリカ、ヨーロッパ、アジア、米国など、さまざまな地域に大きな影響を与えています。

これらの攻撃に関連するリスクは、古い ATM モデルでは特に高くなります。修復や交換が困難であり、セキュリティ ソフトウェアをほとんど使用せずに、すでに低いパフォーマンスがさらに低下するのを防ぐためです。

欧州安全取引協会は、2020 年に EU の金融機関を標的としたジャックポット攻撃 (ATM マルウェアおよび論理攻撃) が合計 202 件成功したと報告しており、2022 年のレポートによると、140 万ドル、つまり攻撃ごとに約 7,000 ドルの損失が発生しました。アトランタ連邦準備銀行。