Adlandırılan yeni bir ATM kötü amaçlı yazılım türü Düzeltme Şubat 2023’ün başından beri Meksika bankalarını hedef aldığı gözlemlendi.
Latin Amerikalı siber güvenlik firması Metabase Q, The Hacker News ile paylaştığı bir raporda, “ATM kötü amaçlı yazılımı, kötü niyetli görünmeyen başka bir programın içinde gizlenmiştir.” Dedi.
Windows tabanlı ATM kötü amaçlı yazılımı, harici bir klavye aracılığıyla etkileşim gerektirmesinin yanı sıra satıcıdan bağımsızdır ve CEN/XFS’yi (Finansal Hizmetler için eXtensions’ın kısaltması) destekleyen tüm bankamatiklere bulaşabilir.
Kesin taviz yöntemi hala bilinmiyor, ancak Metabase Q’dan Dan Regalado The Hacker News’e “saldırganların ATM ile dokunmatik ekran aracılığıyla etkileşim kurmanın bir yolunu bulmuş olma ihtimalinin yüksek olduğunu” söyledi.
FiXS’nin ayrıca, siber suçluların harici bir klavye kullanarak veya bir SMS mesajı göndererek ATM’lerden nakit çekmesini sağlayan Ploutus kod adlı başka bir kötü amaçlı ATM türüne benzer olduğu söyleniyor.
FiXS’nin dikkate değer özelliklerinden biri, Windows GetTickCount API’sinden yararlanarak ATM’nin son yeniden başlatılmasından 30 dakika sonra parayı dağıtabilmesidir.
Metabase Q tarafından analiz edilen örnek, Delphi’de kodlanan ve ilk olarak 2003’te gözlemlenen bir dosya bulaştırıcı virüs olan Neshta (conhost.exe) olarak bilinen bir damlalık aracılığıyla iletilir.
Siber güvenlik şirketi, “FiXS, RIPPER gibi diğer kötü amaçlı yazılımlara benzer şekilde, çoğunlukla her Windows tabanlı ATM’de çok az ayarlamayla çalışmasına yardımcı olan CEN XFS API’leri ile uygulanmaktadır.” “FiXS’in suçluyla etkileşime girme şekli, harici bir klavyedir.”
Bu gelişmeyle birlikte FiXS, parayı çekmek için ATM’leri hedef alan Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer ve ATMii gibi uzun bir kötü amaçlı yazılım listesinin en sonuncusu oldu.
O zamandan beri Prilex, temassız ödeme işlemlerini bloke etmek de dahil olmak üzere çeşitli yöntemlerle kredi kartı dolandırıcılığı gerçekleştirmek için modüler bir satış noktası (PoS) kötü amaçlı yazılımına dönüştü.
Eylül 2017’de ATM kötü amaçlı yazılımları hakkında yayınlanan ayrıntılı bir raporda Trend Micro, “Ağları tehlikeye atan siber suçlular, fiziksel erişim yoluyla saldırılar gerçekleştirenlerle aynı nihai hedefe sahiptir: nakit dağıtmak.”
“Ancak, ATM’lere USB veya CD aracılığıyla manuel olarak kötü amaçlı yazılım yüklemek yerine, suçluların artık makinelere gitmelerine gerek kalmayacak. Nakit parayı alıp gidecek yedek para katırları var.”