Ngày 04 tháng 3 năm 2023Ravie Lakshmanan An ninh ngân hàng / Tội phạm mạng
Một dòng phần mềm độc hại ATM mới được đặt tên sửa lỗi đã được quan sát thấy nhắm mục tiêu vào các ngân hàng Mexico kể từ đầu tháng 2 năm 2023.
“Phần mềm độc hại ATM được ẩn bên trong một chương trình trông có vẻ không độc hại khác,” công ty an ninh mạng Mỹ Latinh Metabase Q cho biết trong một báo cáo được chia sẻ với The Hacker News.
Bên cạnh yêu cầu tương tác thông qua bàn phím bên ngoài, phần mềm độc hại ATM dựa trên Windows cũng không phụ thuộc vào nhà cung cấp và có khả năng lây nhiễm bất kỳ máy rút tiền nào hỗ trợ CEN/XFS (viết tắt của eXtensions for Financial Services).
Phương thức thỏa hiệp chính xác vẫn chưa được biết nhưng Dan Regalado của Metabase Q nói với The Hacker News rằng có khả năng “những kẻ tấn công đã tìm ra cách tương tác với máy ATM thông qua màn hình cảm ứng.”
FiXS cũng được cho là tương tự như một dòng phần mềm độc hại ATM khác có tên mã là Ploutus đã cho phép tội phạm mạng rút tiền từ máy ATM bằng cách sử dụng bàn phím ngoài hoặc bằng cách gửi tin nhắn SMS.
Một trong những đặc điểm đáng chú ý của FiXS là khả năng phân phối tiền 30 phút sau lần khởi động lại máy ATM cuối cùng bằng cách tận dụng Windows GetTickCount API.
Mẫu được phân tích bởi Metabase Q được gửi qua một ống nhỏ giọt được gọi là Neshta (conhost.exe), một loại vi rút lây nhiễm tệp được mã hóa bằng Delphi và lần đầu tiên được phát hiện vào năm 2003.
Công ty an ninh mạng cho biết: “FiXS được triển khai với các API CEN XFS giúp chạy chủ yếu trên mọi máy ATM chạy trên Windows mà không cần điều chỉnh nhiều, tương tự như các phần mềm độc hại khác như RIPPER”. “Cách FiXS tương tác với tội phạm là thông qua bàn phím ngoài.”
Với sự phát triển này, FiXS trở thành phần mềm độc hại mới nhất trong một danh sách dài các phần mềm độc hại như Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer và ATMii đã nhắm mục tiêu vào các máy ATM để hút tiền.
Kể từ đó, Prilex cũng đã phát triển thành phần mềm độc hại mô-đun điểm bán hàng (PoS) để thực hiện hành vi gian lận thẻ tín dụng thông qua nhiều phương pháp, bao gồm chặn các giao dịch thanh toán không tiếp xúc.
Trend Micro cho biết trong một báo cáo chi tiết về phần mềm độc hại ATM được xuất bản vào tháng 9 năm 2017: “Tội phạm mạng xâm phạm mạng có cùng mục tiêu giống như những kẻ thực hiện các cuộc tấn công thông qua truy cập vật lý: phân phát tiền mặt”.
“Tuy nhiên, thay vì cài đặt thủ công phần mềm độc hại vào máy ATM thông qua usb hoặc CD, bọn tội phạm sẽ không cần phải đến máy nữa. Chúng có những con la chuyển tiền dự phòng sẽ lấy tiền và đi.”
