Se ha observado una nueva cepa de malware de cajeros automáticos llamada FiXS que está dirigida a bancos mexicanos desde principios de febrero de 2023. “El malware de cajeros automáticos está oculto dentro de otro programa que no parece malicioso”.
Además de requerir interacción a través de un teclado externo, el malware de cajeros automáticos basado en Windows también es compatible con cualquier máquina expendedora que admita CEN / XFS (aabreviatura de Extensiones para Servicios Financieros).
El modo exacto de compromiso sigue siendo desconocido, pero es probable que “los atacantes hayan encontrado una forma de interactuar con el cajero automático a través de la pantalla táctil”.
Se dice que FiXS es similar a otra cepa de malware de cajeros automáticos con nombre en código Ploutus que ha permitido a los ciberdelincuentes extraer efectivo de los cajeros automáticos utilizando un teclado externo o enviando un mensaje SMS.
Una de las características notables de FiXS es su capacidad para dispensar dinero 30 minutos después del último reinicio del cajero automático aprovechando la API GetTickCount de Windows.
La muestra analizada,se entrega a través de un gotero conocido como Neshta (conhost.exe), un virus infector de archivos que está codificado en Delphi y que se observó inicialmente en 2003.
“FiXS se implementa con las API CEN XFS, que ayudan a ejecutarse principalmente en todos los cajeros automáticos basados en Windows con pequeños ajustes, similar a otros programas maliciosos como RIPPER”, dijo la compañía de ciberseguridad. “La forma en que FiXS interactúa con el criminal es a través de un teclado externo”.
Con este desarrollo, FiXS se convierte en el último de una larga lista de malware como Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer y ATMii que se han dirigido a los cajeros automáticos para desviar dinero.
Desde entonces, Prilex también se ha convertido en un malware modular de punto de venta (PoS) para realizar fraudes con tarjetas de crédito a través de una variedad de métodos, incluido el bloqueo de transacciones de pago sin contacto.
“Los ciberdelincuentes que comprometen las redes tienen el mismo objetivo final que aquellos que llevan a cabo ataques a través del acceso físico: dispensar efectivo”, dijo Trend Micro en un informe detallado sobre malware de cajeros automáticos publicado en septiembre de 2017.
“Sin embargo, en lugar de instalar manualmente malware en los cajeros automáticos a través de USB o CD, los delincuentes ya no necesitarían acercarse a las máquinas. Tienen mulas de dinero en espera que recogerían el efectivo y se irían.”