Se ha observado una nueva variedad de malware para cajeros automáticos denominada FiXS dirigida a bancos mexicanos desde principios de febrero de 2023.
«El malware para cajeros automáticos está oculto dentro de otro programa que no parece malicioso», dijo la firma latinoamericana de ciberseguridad Metabase Q en un informe compartido con The Hacker News.
Además de requerir la interacción a través de un teclado externo, el malware para cajeros automáticos basado en Windows también es independiente del proveedor y es capaz de infectar cualquier cajero automático que admita CEN/XFS (abreviatura de extensiones para servicios financieros).
Se desconoce el modo exacto de compromiso, pero Dan Regalado de Metabase Q le dijo a The Hacker News que es probable que «los atacantes hayan encontrado una manera de interactuar con el cajero automático a través de la pantalla táctil».
También se dice que FiXS es similar a otra variedad de malware para cajeros automáticos con nombre en código Ploutus que ha permitido a los ciberdelincuentes extraer efectivo de los cajeros automáticos usando un teclado externo o enviando un mensaje SMS .
Una de las características notables de FiXS es su capacidad de dispensar dinero 30 minutos después del último reinicio del cajero automático aprovechando la API GetTickCount de Windows.
La muestra analizada por Metabase Q se entrega a través de un cuentagotas conocido como Neshta (conhost.exe), un virus que infecta archivos que está codificado en Delphi y que se detectó inicialmente en 2003.
«FiXS se implementa con las API CEN XFS que ayudan a ejecutarse principalmente en todos los cajeros automáticos basados en Windows con pequeños ajustes, similar a otro malware como RIPPER «, dijo la compañía de ciberseguridad. «La forma en que FiXS interactúa con el criminal es a través de un teclado externo».
Con este desarrollo, FiXS se convierte en el último de una larga lista de malware como Ploutus , Prilex , SUCEFUL , GreenDispenser , RIPPER, Alice , ATMitch , Skimer y ATMii que se han dirigido a los cajeros automáticos para desviar dinero.
Desde entonces, Prilex también se ha convertido en un malware modular de punto de venta (PoS) para realizar fraudes con tarjetas de crédito a través de una variedad de métodos, incluido el bloqueo de transacciones de pago sin contacto.
«Los ciberdelincuentes que comprometen las redes tienen el mismo objetivo final que aquellos que realizan ataques a través del acceso físico: entregar efectivo», dijo Trend Micro en un informe detallado sobre malware para cajeros automáticos publicado en septiembre de 2017.
«Sin embargo, en lugar de instalar malware manualmente en los cajeros automáticos a través de USB o CD, los delincuentes ya no necesitarían ir a las máquinas. Tienen mulas de dinero en espera que recogerían el efectivo y se irían».
Fuente y redacción: thehackernews.com
