FiXS Malware

Los ciberdelincuentes han estado apuntando a los cajeros automáticos en México con una nueva variedad de malware conocida como FiXS, que permite a los atacantes dispensar efectivo de las máquinas objetivo. Este malware se ha utilizado en una serie de ataques que comenzaron en febrero de 2023.

Según un informe de expertos en seguridad, las tácticas utilizadas en estos ataques son similares a las utilizadas en ataques anteriores de Ploutus, otro tipo de malware para cajeros automáticos que ha estado atacando a los bancos latinoamericanos desde 2013. Una versión actualizada de Ploutus , que apunta específicamente a los cajeros automáticos producido por el proveedor brasileño Itautec, ha prevalecido en América Latina desde 2021.

El malware FiXS acaba de salir y actualmente está afectando a los bancos mexicanos. Una vez instalado en los cajeros automáticos, aprovecha un conjunto de protocolos y API conocido como CEN XFS, que permite a los ciberdelincuentes programar los cajeros automáticos para dispensar efectivo, ya sea a través de un teclado externo o mediante mensajes SMS. Este proceso se conoce como jackpotting. Cabe señalar que este tipo de ataque puede causar importantes pérdidas financieras tanto para los bancos como para sus clientes, así como generar preocupaciones sobre la seguridad de las redes de cajeros automáticos.

La cadena de ataque del malware FiXS

Una de las características principales del malware FiXS es que permite que el autor de la amenaza entregue dinero en efectivo del cajero automático 30 minutos después de que la máquina se haya reiniciado. Sin embargo, los delincuentes deben tener acceso al cajero automático a través de un teclado externo.

El malware contiene metadatos en escritura rusa o cirílica, y la cadena de ataque comienza con un cuentagotas de malware llamado 'conhost.exe'. Este cuentagotas identifica el directorio temporal del sistema y almacena allí la carga útil del malware para cajeros automáticos FiXS. Luego, el malware incrustado se decodifica con la instrucción XOR, y la clave se cambia en cada bucle a través de la función decode_XOR_key(). Finalmente, el malware para cajeros automáticos FiXS se inicia a través de la API de Windows 'ShellExecute'.

El malware utiliza las API CEN XFS para interactuar con el cajero automático, lo que lo hace compatible con la mayoría de los cajeros automáticos basados en Windows con ajustes mínimos. Los ciberdelincuentes pueden usar un teclado externo para interactuar con el malware, y los mecanismos de enganche interceptan las pulsaciones de teclas. Dentro de una ventana de 30 minutos después de que se reinicia el cajero automático, los delincuentes pueden aprovechar la vulnerabilidad del sistema y usar el teclado externo para 'escupir dinero' del cajero automático.

Los investigadores no están seguros sobre el vector inicial de la infección. Sin embargo, dado que FiXS usa un teclado externo similar a Ploutus, también se cree que sigue una metodología similar. Cuando se trata de Ploutus, una persona con acceso físico al cajero automático conecta un teclado externo al cajero automático para iniciar el ataque.

El jackpot sigue siendo popular entre los grupos de ciberdelincuentes

Dado que los cajeros automáticos siguen siendo un componente crucial del sistema financiero para las economías basadas en efectivo, los ataques de malware dirigidos a estos dispositivos siguen siendo frecuentes. Por lo tanto, es crucial que las instituciones financieras y los bancos anticipen posibles compromisos de dispositivos y se concentren en optimizar y mejorar sus respuestas a este tipo de amenazas. Estos ataques han tenido un impacto significativo en varias regiones, incluyendo América Latina, Europa, Asia y Estados Unidos.

Los riesgos asociados con estos ataques son particularmente altos para los modelos de cajeros automáticos más antiguos, ya que son difíciles de reparar o reemplazar y rara vez usan software de seguridad para evitar una mayor degradación de su ya deficiente rendimiento.

La Asociación Europea para Transacciones Seguras ha informado un total de 202 ataques exitosos de jackpotting (ataques lógicos y de malware en cajeros automáticos) dirigidos a instituciones financieras en la UE en 2020, lo que resultó en pérdidas de $ 1.4 millones, o alrededor de $ 7,000 por ataque, según un informe de 2022 de el Banco de la Reserva Federal de Atlanta.