Недавно компания Metabase Q обнаружила новую вредоносную программу, которая в настоящее время поражает мексиканские банки. Из-за кодового имени в бинарном файле Metabase назвали его FiXS.
Пока неясно, каков вектор первоначального заражения. Однако, поскольку FiXS использует внешнюю клавиатуру (как и Ploutus) он действует по схожей методологии. В случае с Ploutus человек, имеющий доступ к этим банкоматам, физически подключает внешнюю клавиатуру к банкомату для начала атаки.
На данный момент мы определили некоторые ключевые характеристики вредоносной программы FiXS:
- Она дает банкомату команду выдать деньги через 30 минут после последней перезагрузки банкомата.
- Она скрыта внутри другой программы, не выглядящей вредоносной.
- Не зависит от производителя и нацелена на любой банкомат, поддерживающий CEN XFS.
- Она взаимодействует с мошенниками через внешнюю клавиатуру
- Ждет загрузки кассет, чтобы начать выдачу денег.
- Содержит русские метаданные
Учитывая важность банкоматов в цепи финансовой системы для экономики, основанной на наличных деньгах, атаки вредоносных программ еще далеки от завершения. Банкам и финансовым учреждениям крайне важно предусмотреть потенциальную возможность компрометации устройств и сосредоточиться на сокращении времени обнаружения и реагирования на подобные угрозы.
Indicators of Compromise
MD5
- 8c9f2298275fd486a40b8811436a3a04
- 8e41f365cde91e8f74d6d7ea1cdbd1d9