0
0
Apelidada de FiXS e contendo metadados russos, a ameaça atualmente tem como alvo bancos no México, mas descobriu-se que não depende de fornecedor, trabalhando em qualquer caixa eletrônico compatível com CEN XFS.
Assim como o infame malware Ploutus ATM , o FiXS requer o uso de um teclado externo, sugerindo que está sendo implantado por cibercriminosos por meio de acesso físico a caixas eletrônicos.
De acordo com a Metabase Q, que fornece soluções e serviços de segurança cibernética para organizações na América Latina, o FiXS se esconde dentro de um programa aparentemente inócuo, instrui a máquina infectada a dispensar dinheiro 30 minutos após a última reinicialização e aguarda o carregamento dos cassetes antes de dispensar.
O malware é implantado embutido em um conta-gotas que decodifica o malware com instrução XOR e o armazena no diretório temporário do sistema. O FiXS é então executado por meio da API do Windows ShellExecute.
Implementado com as APIs CEN XFS, o malware pode ser executado em todos os caixas eletrônicos baseados em Windows, com poucas modificações.
O FiXS é executado em um loop infinito para identificar a entrada de teclado correta para mostrar uma janela, exibir informações da unidade de caixa, fechar a sessão e encerrar o processo ou dispensar dinheiro.
Ao contrário do Ploutus ou outro malware sofisticado de caixas eletrônicos, a ameaça não possui uma interface avançada e pode exibir apenas o número de notas em cada cassete, na lixeira e na lixeira rejeitada.
Como o malware instrui o caixa eletrônico a liberar dinheiro 30 minutos após a última reinicialização, o Metabase Q acredita que o dinheiro seja recuperado por mulas logo após a instalação do malware.
“Dada a importância dos caixas eletrônicos na cadeia do sistema financeiro para economias baseadas em dinheiro, os ataques de malware estão longe de terminar. É fundamental que bancos e instituições financeiras assumam potenciais comprometimentos de dispositivos e foquem na redução do Tempo de Detecção e Resposta a esses tipos de ameaças”, observa Metabase Q.
FONTE: SECURITYWEEK