FiXS-Malware

Cyberkriminelle haben Geldautomaten in Mexiko mit einer neuen Malware namens FiXS angegriffen, die es Angreifern ermöglicht, Bargeld an den Zielautomaten auszugeben. Diese Malware wurde in einer Reihe von Angriffen verwendet, die im Februar 2023 begannen.

Laut einem Bericht von Sicherheitsexperten ähneln die bei diesen Angriffen verwendeten Taktiken denen früherer Angriffe von Ploutus, einer anderen Art von Geldautomaten-Malware, die seit 2013 auf lateinamerikanische Banken abzielt. Eine aktualisierte Version von Ploutus , die speziell auf Geldautomaten abzielt hergestellt vom brasilianischen Anbieter Itautec, ist seit 2021 in ganz Lateinamerika verbreitet.

Die FiXS-Malware ist gerade erschienen und betrifft derzeit mexikanische Banken. Sobald es auf den Geldautomaten installiert ist, nutzt es eine Reihe von Protokollen und APIs, bekannt als CEN XFS, die es Cyberkriminellen ermöglicht, die Geldautomaten zu programmieren, um Bargeld entweder über eine externe Tastatur oder per SMS-Nachrichten auszugeben. Dieser Vorgang wird als Jackpot bezeichnet. Es ist bemerkenswert, dass diese Art von Angriff sowohl für die Banken als auch für ihre Kunden erhebliche finanzielle Verluste verursachen und Bedenken hinsichtlich der Sicherheit von Geldautomatennetzen aufkommen lassen kann.

Die Angriffskette der FiXS-Malware

Eines der Hauptmerkmale der FiXS-Malware besteht darin, dass sie es dem Angreifer ermöglicht, 30 Minuten nach dem Neustart des Automaten Bargeld am Geldautomaten auszugeben. Kriminelle müssen jedoch über eine externe Tastatur Zugriff auf den Geldautomaten haben.

Die Malware enthält Metadaten in russischer oder kyrillischer Schrift, und die Angriffskette beginnt mit einem Malware-Dropper namens „conhost.exe“. Dieser Dropper identifiziert das temporäre Verzeichnis des Systems und speichert dort die Payload der FiXS-Geldautomaten-Malware. Die eingebettete Malware wird dann mit einer XOR-Anweisung decodiert, wobei der Schlüssel in jeder Schleife über die Funktion decode_XOR_key() geändert wird. Schließlich wird die FiXS-Geldautomaten-Malware über die Windows-API „ShellExecute“ gestartet.

Die Malware verwendet die CEN XFS-APIs, um mit dem Geldautomaten zu interagieren, wodurch sie mit minimalen Anpassungen mit den meisten Windows-basierten Geldautomaten kompatibel ist. Cyberkriminelle können eine externe Tastatur verwenden, um mit der Malware zu interagieren, und die Hooking-Mechanismen fangen die Tastenanschläge ab. Innerhalb von 30 Minuten nach dem Neustart des Geldautomaten können Kriminelle die Schwachstelle des Systems ausnutzen und die externe Tastatur verwenden, um Geld aus dem Geldautomaten auszuspucken.

Die Forscher sind sich über den ursprünglichen Infektionsvektor nicht sicher. Da FiXS jedoch eine externe Tastatur ähnlich wie Ploutus verwendet, wird auch angenommen, dass es einer ähnlichen Methodik folgt. Bei Ploutus verbindet eine Person mit physischem Zugang zum Geldautomaten eine externe Tastatur mit dem Geldautomaten, um den Angriff einzuleiten.

Jackpotting ist bei cyberkriminellen Gruppen nach wie vor beliebt

Da Geldautomaten eine entscheidende Komponente des Finanzsystems für bargeldbasierte Volkswirtschaften bleiben, sind Malware-Angriffe auf diese Geräte immer noch weit verbreitet. Daher ist es für Finanzinstitute und Banken von entscheidender Bedeutung, potenzielle Kompromittierungen von Geräten zu antizipieren und sich darauf zu konzentrieren, ihre Reaktionen auf diese Arten von Bedrohungen zu optimieren und zu verbessern. Diese Angriffe hatten erhebliche Auswirkungen auf verschiedene Regionen, darunter Lateinamerika, Europa, Asien und die Vereinigten Staaten.

Die mit diesen Angriffen verbundenen Risiken sind bei älteren Geldautomatenmodellen besonders hoch, da sie schwierig zu reparieren oder zu ersetzen sind und selten Sicherheitssoftware verwenden, um eine weitere Verschlechterung ihrer ohnehin schon schlechten Leistung zu verhindern.

Die European Association for Secure Transactions hat laut einem Bericht von 2022 von der Federal Reserve Bank von Atlanta insgesamt 202 erfolgreiche Jackpot-Angriffe (ATM-Malware und logische Angriffe) auf Finanzinstitute in der EU im Jahr 2020 gemeldet, die zu Verlusten von 1,4 Millionen US-Dollar oder rund 7.000 US-Dollar pro Angriff führten.