FiXS ATM Malware IOCs

malware IOC

Недавно компания Metabase Q обнаружила новую вредоносную программу, которая в настоящее время поражает мексиканские банки. Из-за кодового имени в бинарном файле Metabase назвали его FiXS.

Пока неясно, каков вектор первоначального заражения. Однако, поскольку FiXS использует внешнюю клавиатуру (как и Ploutus) он действует по схожей методологии. В случае с Ploutus человек, имеющий доступ к этим банкоматам, физически подключает внешнюю клавиатуру к банкомату для начала атаки.

На данный момент мы определили некоторые ключевые характеристики вредоносной программы FiXS:

  • Она дает банкомату команду выдать деньги через 30 минут после последней перезагрузки банкомата.
  • Она скрыта внутри другой программы, не выглядящей вредоносной.
  • Не зависит от производителя и нацелена на любой банкомат, поддерживающий CEN XFS.
  • Она взаимодействует с мошенниками через внешнюю клавиатуру
  • Ждет загрузки кассет, чтобы начать выдачу денег.
  • Содержит русские метаданные

Учитывая важность банкоматов в цепи финансовой системы для экономики, основанной на наличных деньгах, атаки вредоносных программ еще далеки от завершения. Банкам и финансовым учреждениям крайне важно предусмотреть потенциальную возможность компрометации устройств и сосредоточиться на сокращении времени обнаружения и реагирования на подобные угрозы.

Indicators of Compromise

MD5

  • 8c9f2298275fd486a40b8811436a3a04
  • 8e41f365cde91e8f74d6d7ea1cdbd1d9
SEC-1275-1
Добавить комментарий