Une nouvelle souche de malware ATM baptisée FiXS a été observée ciblant les banques mexicaines depuis début février 2023.

« Le malware ATM est caché dans un autre programme qui n’a pas l’air malveillant », a déclaré la société latino-américaine de cybersécurité Metabase Q dans un rapport partagé avec Breachtarce.

En plus de nécessiter une interaction via un clavier externe, le malware ATM basé sur Windows est également indépendant du fournisseur et est capable d’infecter n’importe quel guichet automatique prenant en charge CEN/XFS (abréviation d’eXtensions for Financial Services).

Le mode exact de compromis reste inconnu, mais Dan Regalado de Metabase Q a déclaré à Breachtarce qu’il est probable que « les attaquants aient trouvé un moyen d’interagir avec le guichet automatique via l’écran tactile ».

FiXS serait également similaire à une autre souche de logiciels malveillants pour guichets automatiques nommé Ploutus qui a permis aux cybercriminels d’extraire de l’argent des guichets automatiques en utilisant un clavier externe ou en envoyant un message SMS.

L’une des caractéristiques notables de FiXS est sa capacité à distribuer de l’argent 30 minutes après le dernier redémarrage du guichet automatique en exploitant l’API Windows GetTickCount.

L’échantillon analysé par Metabase Q est livré via un compte-gouttes connu sous le nom de Neshta (conhost.exe), un virus infecteur de fichiers codé en Delphi et qui a été initialement observé en 2003.

« FiXS est implémenté avec les API CEN XFS qui permettent de fonctionner principalement sur tous les guichets automatiques basés sur Windows avec peu d’ajustements, comme d’autres logiciels malveillants comme RIPPER », a déclaré la société de cybersécurité. « La façon dont FiXS interagit avec le criminel se fait via un clavier externe. »

Avec ce développement, FiXS devient le dernier d’une longue liste de logiciels malveillants tels que Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer et ATMii qui ont ciblé les guichets automatiques pour siphonner de l’argent.

Depuis, Prilex a également évolué pour devenir un logiciel malveillant modulaire de point de vente (PoS) permettant de frauder les cartes de crédit par le biais de diverses méthodes, notamment le blocage des transactions de paiement sans contact.

« Les cybercriminels qui compromettent les réseaux ont le même objectif final que ceux qui mènent des attaques via un accès physique : distribuer de l’argent », a déclaré Trend Micro dans un rapport détaillé sur les logiciels malveillants de guichets automatiques publié en septembre 2017.

« Cependant, au lieu d’installer manuellement des logiciels malveillants sur les guichets automatiques via USB ou CD, les criminels n’auraient plus besoin d’aller aux machines. Ils ont des mules de réserve qui récupèreraient l’argent et partiraient. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *