Une nouvelle souche de malware ATM surnommée FiXS a été observé ciblant les banques mexicaines depuis début février 2023.
« Le malware ATM est caché dans un autre programme qui n’a pas l’air malveillant », a déclaré la société latino-américaine de cybersécurité Metabase Q. a dit dans un rapport partagé avec The Hacker News.
En plus de nécessiter une interaction via un clavier externe, le malware ATM basé sur Windows est également indépendant du fournisseur et est capable d’infecter n’importe quel guichet automatique qui prend en charge CEN/XFS (abréviation de eXtensions pour les services financiers).
Le mode exact de compromis reste inconnu, mais Dan Regalado de Metabase Q a déclaré à The Hacker News qu’il est probable que « les attaquants aient trouvé un moyen d’interagir avec le guichet automatique via l’écran tactile ».
On dit aussi que FiXS est similaire à une autre souche de Logiciels malveillants pour distributeurs automatiques de billets nom de code Ploutus qui a permis aux cybercriminels d’extraire de l’argent des distributeurs automatiques de billets en utilisant un clavier externe ou en envoyer un SMS.
L’une des caractéristiques notables de FiXS est sa capacité à distribuer de l’argent 30 minutes après le dernier redémarrage du guichet automatique en tirant parti de Windows API GetTickCount.
Le goûter analysée par Metabase Q est délivrée via un compte-gouttes connu comme Neshta (conhost.exe), un virus infecteur de fichiers qui est codé en Delphi et qui a été initialement observé en 2003.
« FiXS est implémenté avec les API CEN XFS qui permettent de fonctionner principalement sur tous les guichets automatiques basés sur Windows avec peu d’ajustements, comme d’autres logiciels malveillants tels que ÉVENTREUR« , a déclaré la société de cybersécurité. « La façon dont FiXS interagit avec le criminel se fait via un clavier externe. »
Avec ce développement, FiXS devient le dernier d’une longue liste de logiciels malveillants tels que PloutusPrilex, RÉUSSI, Distributeur vertRIPPER, Alice, ATitch, Écumeuret ATMii qui ont ciblé les guichets automatiques pour siphonner de l’argent.
Depuis, Prilex a également évolué pour devenir un logiciel malveillant modulaire de point de vente (PoS) permettant de frauder les cartes de crédit par le biais de diverses méthodes, notamment le blocage des transactions de paiement sans contact.
« Les cybercriminels qui compromettent les réseaux ont le même objectif final que ceux qui mènent des attaques via un accès physique : distribuer de l’argent », Trend Micro a dit dans un rapport détaillé sur les malwares ATM publié en septembre 2017.
« Cependant, au lieu d’installer manuellement des logiciels malveillants sur les guichets automatiques via USB ou CD, les criminels n’auraient plus besoin d’aller aux machines. Ils ont des mules de réserve qui récupèreraient l’argent et partiraient. »
