Ciekawy atak na bankomaty

kapitanhack.pl 1 rok temu

Metabase Q, firma zajmująca się cyberbezpieczeństwem, właśnie udokumentowała nową rodzinę złośliwego systemu atakującą bankomaty – daleko od nas, bo w Ameryce Łacińskiej. Zła nowina jest taka, iż nic nie stoi na przeszkodzie, by to oprogramowanie było używane również w Europie.

Zagrożenie, nazwane FiXS, zawiera rosyjskie metadane. Pierwotnie skierowane było na banki w Meksyku, ale okazało się, iż funkcjonuje niezależnie od dostawcy i działa na każdym bankomacie obsługującym CEN XFS. Ten ostatni to interfejs zapewniający architekturę klient-serwer dla aplikacji finansowych na platformie Microsoft Windows, zwłaszcza urządzeń peryferyjnych, takich jak terminale EFTPOS i bankomaty, które są unikalne dla branży finansowej. Jest to międzynarodowy standard promowany przez Europejski Komitet Normalizacyjny.

Podobnie jak złośliwe oprogramowanie Ploutus ATM, FiXS wymaga użycia zewnętrznej klawiatury, co oznacza, iż jest wdrażane przez cyberprzestępców poprzez fizyczny dostęp do bankomatów.

Według Metabase Q, która dostarcza rozwiązania i usługi cyberbezpieczeństwa organizacjom w Ameryce Łacińskiej, FiXS ukrywa się w pozornie nieszkodliwym programie, instruuje zainfekowaną maszynę, aby wydała pieniądze 30 minut po ostatnim ponownym uruchomieniu i czeka na załadowanie kaset przed wydaniem.

Złośliwe oprogramowanie jest instalowane w dropperze, który dekoduje malware dzięki instrukcji XOR i przechowuje go w katalogu tymczasowym systemu. FiXS jest następnie wykonywany przez interfejs API systemu Windows ShellExecute.

Zaimplementowane dzięki interfejsów API CEN XFS, złośliwe oprogramowanie może działać na każdym bankomacie opartym na systemie Windows, z kilkoma modyfikacjami.

FiXS działa w nieskończonej pętli, aby zidentyfikować adekwatne wejście klawiatury w celu wyświetlenia okna, wyświetlenia informacji o jednostce gotówkowej, zamknięcia sesji i zabicia procesu lub wydania pieniędzy.

W przeciwieństwie do Ploutus lub innego wyrafinowanego złośliwego systemu bankomatowego, zagrożenie nie posiada bogatego interfejsu i może wyświetlać jedynie numery banknotów w każdej kasecie, w koszu oraz w koszu odrzuconym.

Ponieważ program instruuje bankomat, aby wypłacił pieniądze 30 minut po ostatnim ponownym uruchomieniu, Metabase Q uważa, iż pieniądze są pobierane przez tzw. „muły” niedługo po instalacji oprogramowania.

„Biorąc pod uwagę znaczenie bankomatów w łańcuchu systemu finansowego dla gospodarek opartych na gotówce, ataki złośliwego systemu nieprędko się zakończą. Niezwykle ważne jest, aby banki i instytucje finansowe brały pod uwagę potencjalne zagrożenia dla urządzeń i skupiały się na skróceniu czasu wykrywania i reagowania na tego typu zagrożenia” – zauważa Metabase.

Na naszym portalu nieczęsto piszemy o fizycznych atakach. Ostatni raz ponad trzy lata temu pisaliśmy o trendach w Hackowani bankomatów. Tekst ten znajdziesz tutaj.

Idź do oryginalnego materiału