Компания Metabase Q сообщила о появлении нового семейства вредоносных программ, нацеленного на банкоматы в Латинской Америке. Вредонос, получивший название FiXS, атакует мексиканские банки с начала февраля 2023 года, но также может использоваться для компрометации любых других банкоматов, поддерживающих CEN XFS.
Исследователи пишут, что точный способ компрометации пока остается неизвестным, но вполне вероятно, что «злоумышленники нашли способ взаимодействия с банкоматом через сенсорный экран». Также отмечается, что малварь для банкоматов прячется «внутри другой программы, которая не выглядит вредоносной». Если точнее, образец, изученный специалистами, доставляется посредством дроппера Neshta (conhost.exe), который написан на Delphi и впервые был обнаружен еще в 2003 году.
По словам специалистов, FiXS похож на другой вредонос для банкоматов под названием Ploutus , который позволяет преступникам извлекать наличные из банкоматов с помощью внешней клавиатуры или путем отправки SMS-сообщений. Это тоже позволяет предположить, что атакующие внедряют малварь через физический доступ к банкоматам.
Помимо необходимости взаимодействия через внешнюю клавиатуру, FiXS может использоваться для любых банкоматов на базе Windows и не привязан к конкретному вендору. Фактически малварь способна заразить любую машину, поддерживающую CEN/XFS (eXtensions for Financial Services).
Одной из примечательных особенностей FiXS является его способность заставить банкомат выдать деньги через 30 минут после последней перезагрузки (используя Windows GetTickCount API). В Metabase Q предполагают, что вскоре после установки вредоносного ПО выданные наличные извлекаются мулами.
«FiXS имплементирован с помощью API CEN XFS, которые есть практически в каждом банкомате на базе Windows (как и другие вредоносные программы, например, RIPPER)», — отмечают исследователи.
