Специалисты ИБ-компании Metabase Q — это компания в сфере кибербезопасности, использующая лучшие мировые технологии, процессы и специалистов.
Компания придерживается интегрированного и комплексного подход, ориентированного на унификацию инфраструктуры безопасности и бизнес-процессов. Обеспечивает «цифровую гигиену» своих клиентов, соблюдение нормативных требований, постоянный мониторинг и обнаружение угроз.
‘ data-html=»true» data-original-title=»Metabase Q»>Metabase Q обнаружили новый штамм вредоносного ПО под названием FiXS, нацеленного на банкоматы на базе Windows. Штамм был обнаружен в мексиканских банках в начале февраля 2023 года.
FiXS управляется через внешнюю клавиатуру и способен заразить любой банкомат, поддерживающий стандарт CEN/XFS (eXtensions for Financial Services). Точный способ компрометации остается неизвестным, но эксперты предполагают, что злоумышленники взаимодействуют с банкоматом через внешнюю клавиатуру.
Также сообщается, что FiXS похож на другой штамм вредоносного ПО для банкоматов под названием Ploutus, которое позволяет киберпреступникам извлекать наличные из банкоматов с помощью внешней клавиатуры или путем отправки SMS-сообщения.
Образец, проанализированный Metabase Q, доставляется через приложение-Дроппер – вредоносное ПО, используемое для установки на целевую систему других угроз. Дропперы содержат в себе финальную полезную нагрузку и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными.
» data-html=»true» data-original-title=»Дроппер»>дроппер Neshta (conhost.exe), написанное на Delphi и впервые обнаруженное в 2003 году.
Одной из примечательных характеристик FiXS является его способность выдавать деньги через 30 минут после последней перезагрузки банкомата с помощью API Windows GetTickCount . Чтобы получить деньги из банкомата, используются денежные мулы, которые их забирают и доставляют преступникам.
Стоит отметить, что FiXS – не единственное вредоносное ПО, нацеленное на периферийные устройства для финансовых операций. В сентябре 2022 года аналитики Лаборатории Касперского обнаружили 3 новые версии вредоносного ПО Prilex , нацеленного на PoS-терминалы.
Prilex появился в 2014 году и сначала атаковал банкоматы, а в 2016 году переместился PoS-устройства (Point-of-Sale). Пик разработки и распространения пришелся на 2020 год, но вредоносное ПО исчезло в 2021 году. Однако, по словам специалистов, за это время операторы Prilex разработали более сложную и разрушительную версию вредоносного ПО.