Una nueva cepa de malware para cajeros automáticos llamada FiXS se ha observado dirigida a los bancos mexicanos desde principios de febrero de 2023.
«El malware de cajeros automáticos está oculto dentro de otro programa de aspecto no malicioso», dijo la firma latinoamericana de ciberseguridad Metabase Q en un informe compartido con The Hacker News.
Además de requerir interacción a través de un teclado externo, el malware de cajeros automáticos basado en Windows también es independiente del proveedor y es capaz de infectar cualquier cajero automático que admita CEN / XFS (abreviatura de eXtensions for Financial Services).
El modo exacto de compromiso sigue siendo desconocido, pero Dan Regalado de Metabase Q dijo a The Hacker News que es probable que «los atacantes hayan encontrado una manera de interactuar con el cajero automático a través de la pantalla táctil».
También se dice que FiXS es similar a otra cepa de malware de cajeros automáticos con nombre en código Ploutus que ha permitido a los ciberdelincuentes extraer efectivo de los cajeros automáticos utilizando un teclado externo o enviando un mensaje SMS.
Una de las características notables de FiXS es su capacidad para dispensar dinero 30 minutos después del último reinicio del cajero automático aprovechando la API GetTickCount de Windows.
La muestra analizada por Metabase Q se entrega a través de un gotero conocido como Neshta (conhost.exe), un virus infector de archivos que está codificado en Delphi y que se observó inicialmente en 2003.
«FiXS se implementa con las API CEN XFS, que ayudan a ejecutarse principalmente en todos los cajeros automáticos basados en Windows con pequeños ajustes, similar a otros programas maliciosos como RIPPER», dijo la compañía de ciberseguridad. «La forma en que FiXS interactúa con el criminal es a través de un teclado externo».
Con este desarrollo, FiXS se convierte en el último de una larga lista de malware como Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer y ATMii que se han dirigido a los cajeros automáticos para desviar dinero.
Desde entonces, Prilex también se ha convertido en un malware modular de punto de venta (PoS) para realizar fraudes con tarjetas de crédito a través de una variedad de métodos, incluido el bloqueo de transacciones de pago sin contacto.
«Los ciberdelincuentes que comprometen las redes tienen el mismo objetivo final que aquellos que llevan a cabo ataques a través del acceso físico: dispensar efectivo», dijo Trend Micro en un informe detallado sobre malware de cajeros automáticos publicado en septiembre de 2017.
«Sin embargo, en lugar de instalar manualmente malware en cajeros automáticos a través de USB o CD, los delincuentes ya no tendrían que ir a las máquinas. Tienen mulas de dinero de reserva que recogerían el efectivo y se irían».
Fuente: https://thehackernews.com
