针对墨西哥银行ATM的新恶意软件FiXS

自 2023 年 2 月开始以来，已观察到一种名为FiXS的新ATM恶意软件变种以墨西哥银行为目标。

“ATM 恶意软件隐藏在另一个看起来并不恶意的程序中，”拉丁美洲网络安全公司 Metabase Q在与黑客新闻分享的一份报告中说。

除了需要通过外部键盘进行交互外，基于 Windows 的 ATM 恶意软件还与供应商无关，并且能够感染任何支持CEN/XFS（金融服务扩展的简称）的柜员机。

确切的妥协方式仍然未知，但Metabase Q的Dan Regalado告诉黑客新闻，很可能“攻击者找到了一种通过触摸屏与 ATM 进行交互的方法”。

据说 FiXS 还类似于代号为 Ploutus 的另一种 ATM 恶意软件，它使网络犯罪分子能够通过使用外部键盘或发送 SMS 消息从 ATM 提取现金。

FiXS 的显着特征之一是它能够在最后一次 ATM 重新启动后 30 分钟通过利用Windowsv GetTickCount API取款。

Metabase Q 分析的样本是通过名为 Neshta (conhost.exe) 的释放器传送的，这是一种用Delphi编码的文件感染病毒，最初于2003年被发现。

“FiXS 是通过CEN XFS API实现的，这有助于在每台基于Windows 的ATM上运行，几乎不需要调整，类似于RIPPER等其他恶意软件，”这家网络安全公司表示。“FiXS 与犯罪分子互动的方式是通过外部键盘。”

随着这一发展，FiXS成为一长串恶意软件（例如Ploutus、Prilex、SUCEFUL、GreenDispenser、RIPPER、Alice、ATMitch、Skimer和ATMii）中的最新成员，这些恶意软件的目标是 ATM 以窃取资金。

此后，Prilex还发展成为一种模块化的销售点 (PoS) 恶意软件，可通过多种方法实施信用卡欺诈，包括阻止非接触式支付交易。

趋势科技在 2017 年 9 月发布的一份关于 ATM 恶意软件的详细报告中表示：“破坏网络的网络犯罪分子与通过物理访问进行攻击的网络犯罪分子有着相同的最终目标：分发现金。”

“然而，与通过USB或CD在 ATM 上手动安装恶意软件不同，犯罪分子不再需要走到机器前了。他们有备用的钱骡，可以拿起现金就走。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4626.html