SmartGlobal

El malware avanzado para cajeros automáticos denominado FiXS se ha utilizado en una serie de ataques en todo México que permiten a los ciberdelincuentes escupir dinero en efectivo a pedido. Los ataques han estado en curso desde febrero y los investigadores no están seguros de cómo los actores de amenazas pueden instalar el malware FiXS en los cajeros automáticos específicos.

Los ataques son similares en tácticas al malware anterior para cajeros automáticos llamado Ploutus, que se ha dirigido a los bancos de América Latina desde 2013, según un informe de investigadores de Metabase Q. Se detectó una cepa actualizada del malware en 2021, que "se dirigía específicamente a los cajeros automáticos producidos por el proveedor brasileño, Itautec, y prevalecía en toda América Latina".

El malware FiXS es nuevo y actualmente está afectando a los bancos mexicanos, escribieron Jesús Domínguez y Gerardo Corona del equipo Ocelot de Metabase Q.

El malware FiXS obtiene su nombre del tipo de middleware de cajero automático agnóstico del proveedor al que se dirige llamado CEN XFS. No está claro cómo los ciberdelincuentes obtienen acceso a los sistemas para inyectar el malware en los cajeros automáticos, según los investigadores. Sin embargo, una vez instalado, FiXS permite a los atacantes explotar un conjunto de protocolos y API que componen CEN XFS . La interfaz de usuario del malware permite a los ciberdelincuentes remotos programar los cajeros automáticos para dispensar efectivo, lo que también se conoce como jackpotting.

El término jackpot, en alusión a un tipo de ganancias inesperadas de apuestas, es una jerga que se usa cuando los delincuentes pueden dispensar efectivo de cajeros automáticos bancarios mediante una conexión física, malware remoto o una combinación de ambos.

Cómo funciona el malware para cajeros automáticos FiXS

Las características del malware FiXS, según Metabase Q, incluyen permitir que el actor de amenazas entregue efectivo 30 minutos después de que se reinicie el cajero automático. Los delincuentes deben tener acceso al cajero automático objetivo a través de un teclado externo. Los metadatos están asociados con el malware en alfabeto ruso o cirílico.

La cadena de ataque comienza con un cuentagotas de malware (conhost.exe), según Metabase Q. A continuación, el cuentagotas puede identificar el directorio temporal del sistema para almacenar la carga útil del malware para cajeros automáticos FiXS.

“El malware incrustado se decodifica con la instrucción XOR donde la clave se cambia en cada ciclo a través de la función decode_XOR_key()”, escribieron los investigadores.

“Finalmente, el malware para cajeros automáticos FiXS se lanza a través de la API de Windows 'ShellExecute'”, escribieron los investigadores.

“FiXS se implementa con las API CEN XFS que ayudan a ejecutarse principalmente en todos los cajeros automáticos basados en Windows con pequeños ajustes, similar a otros malwares como Ripper ”, escribieron. “La forma en que FiXS interactúa con el criminal es a través de un teclado externo, similar a otros virus, esto se puede confirmar identificando los mecanismos de enganche que interceptan las pulsaciones de teclas”.

Los delincuentes, con un teclado externo, pueden aprovechar el reinicio del cajero automático y, dentro de una ventana de 30 minutos desde que el sistema vuelve a estar en línea, pueden "escupir dinero".

"Aún no está claro cuál es el vector de la infección inicial. Sin embargo, dado que FiXS utiliza un teclado externo (similar a Ploutus), anticipamos que sigue una metodología similar. En el caso de Ploutus, una persona con acceso a estos los cajeros automáticos conectan físicamente un teclado externo al cajero automático para que comience el ataque", escribieron los investigadores.

¿Qué tan común es el premio mayor en cajeros automáticos?

En un informe separado, los investigadores dijeron que en los primeros ocho meses de 2022, la cantidad de dispositivos únicos afectados por malware para cajeros automáticos y puntos de venta (jackpotting) creció un 19 % en comparación con el mismo período de 2020, y casi un 4 %. en comparación con 2021. Las cepas de malware HydraPOS y AbaddonPOS fueron las más utilizadas, según el informe de Kaspersky .

Las regiones más afectadas incluyen América Latina, Europa, Asia y los Estados Unidos. “El riesgo es mayor con los modelos de cajeros automáticos más antiguos, ya que son difíciles de reparar o reemplazar y rara vez usan software de seguridad para evitar degradar aún más su rendimiento que ya es deficiente”, escribió Kaspersky.

“La Asociación Europea para Transacciones Seguras, que rastrea los ataques de fraude en cajeros automáticos para instituciones financieras en la UE, informó 202 jackpots exitosos (ataques lógicos y de malware en cajeros automáticos) en 2020, lo que resultó en pérdidas de $ 1.4 millones o alrededor de $ 7,000 por ataque”, según un Informe de 2022 del Banco de la Reserva Federal de Atlanta .

“Dada la importancia de los cajeros automáticos en la cadena del sistema financiero para las economías basadas en efectivo, los ataques de malware están lejos de terminar. Es fundamental que los bancos y las instituciones financieras asuman los posibles compromisos de los dispositivos y se centren en reducir el tiempo de detección y respuesta a este tipo de amenazas”, escribieron los investigadores de Metabase Q.

Fuente: https://www.scmagazine.com

Los ladrones 'ganan' cajeros automáticos en América Latina con el nuevo malware FiXS

Categorias

Ultimas Noticias

¿Qué es Ciberseguridad?

Cybernew N° 1 - Ataques DDos explotando Middleboxes

¿Qué es el estándar ANSI/TIA-942-B y para qué sirve?

Los ladrones 'ganan' cajeros automáticos en América Latina con el nuevo malware FiXS

Cómo funciona el malware para cajeros automáticos FiXS

¿Qué tan común es el premio mayor en cajeros automáticos?

Canal de Denuncias

Ebook

Hackers al acecho

Cerca de 10 millones de dispositivos fueron víctimas de malware diseñado para robar datos en 2023