Metabase Q ha anunciado el surgimiento de una nueva familia de malware dirigida a cajeros automáticos en América Latina. El malware, denominado FiXS, ha estado atacando bancos mexicanos desde principios de febrero de 2023, pero también puede usarse para comprometer cualquier otro cajero automático que admita CEN XFS.
Los investigadores escriben que aún se desconoce el método exacto de compromiso, pero es probable que "los atacantes hayan encontrado una forma de interactuar con el cajero automático a través de la pantalla táctil". También se observa que el malware para cajeros automáticos se esconde “dentro de otro programa que no parece malware”. Para ser más precisos, la muestra estudiada por los expertos se entrega a través del cuentagotas Neshta (conhost.exe), que está escrito en Delphi y se descubrió por primera vez en 2003.
Según los expertos, FiXS es similar a otro malware para cajeros automáticos llamado Ploutus , que permite a los delincuentes extraer efectivo de los cajeros automáticos usando un teclado externo o enviando mensajes SMS . Esto también sugiere que los atacantes inyectan malware a través del acceso físico a los cajeros automáticos.
Además de la necesidad de interacción a través de un teclado externo, FiXS se puede usar para cualquier cajero automático basado en Windows y no está vinculado a un proveedor específico. De hecho, el malware es capaz de infectar cualquier máquina que admita CEN/XFS (extensiones para servicios financieros).
Una característica notable de FiXS es su capacidad para obligar a un cajero automático a entregar dinero 30 minutos después del último reinicio (utilizando la API GetTickCount de Windows ). Metabase Q sugiere que poco después de instalar el malware, las mulas recuperan el efectivo emitido.
“FiXS se implementa utilizando la API CEN XFS, que se encuentra en casi todos los cajeros automáticos basados en Windows (así como en otro malware, como RIPPER )”, señalan los investigadores.
Fuente: https://xakep.ru/
0 Comentarios