Una nueva variedad de malware para cajeros automáticos denominada arreglos se ha observado apuntando a bancos mexicanos desde principios de febrero de 2023.
“El malware para cajeros automáticos está oculto dentro de otro programa que no parece malicioso”, dijo la firma latinoamericana de ciberseguridad Metabase Q. dicho en un informe compartido con The Hacker News.
Además de requerir interacción a través de un teclado externo, el malware para cajeros automáticos basado en Windows también es independiente del proveedor y es capaz de infectar cualquier cajero automático que admita CEN/XFS (abreviatura de extensiones para servicios financieros).
Se desconoce el modo exacto de compromiso, pero Dan Regalado de Metabase Q le dijo a The Hacker News que es probable que “los atacantes hayan encontrado una manera de interactuar con el cajero automático a través de la pantalla táctil”.
También se dice que FiXS es similar a otra cepa de Software malicioso para cajeros automáticos con nombre en código ploutus que ha permitido a los ciberdelincuentes extraer efectivo de los cajeros automáticos mediante un teclado externo o mediante enviando un mensaje SMS.
Una de las características notables de FiXS es su capacidad de dispensar dinero 30 minutos después del último reinicio del cajero automático aprovechando la funcionalidad de Windows. API GetTickCount.
El muestra analizado por Metabase Q se entrega a través de un cuentagotas conocido como Neshta (conhost.exe), un virus que infecta archivos que está codificado en Delphi y que se observó inicialmente en 2003.
“FiXS se implementa con las API CEN XFS que ayudan a ejecutarse principalmente en todos los cajeros automáticos basados en Windows con pequeños ajustes, similar a otro malware como DESTRIPADOR“, dijo la compañía de seguridad cibernética. “La forma en que FiXS interactúa con el criminal es a través de un teclado externo”.
Con este desarrollo, FiXS se convierte en el último de una larga lista de malware como ploutusPrilex, EXITOSO, VerdeDispensadorDESTRIPADOR, Alicia, cajero automático, esquiadory ATMii que han apuntado a los cajeros automáticos para desviar dinero.
Desde entonces, Prilex también se ha convertido en un malware modular de punto de venta (PoS) para realizar fraudes con tarjetas de crédito a través de una variedad de métodos, incluido el bloqueo de transacciones de pago sin contacto.
“Los ciberdelincuentes que comprometen las redes tienen el mismo objetivo final que quienes realizan ataques a través del acceso físico: dispensar dinero en efectivo”, Trend Micro dicho en un informe detallado sobre malware para cajeros automáticos publicado en septiembre de 2017.
“Sin embargo, en lugar de instalar malware manualmente en los cajeros automáticos a través de USB o CD, los delincuentes ya no necesitarían ir a las máquinas. Tienen mulas de dinero en espera que recogerían el efectivo y se irían”.
About the Author
