New ATM Malware ‘FiXS’ Emerges
2023/03/06 SecurityWeek — サイバーセキュリティ企業 Metabase Q は、ラテンアメリカの ATM を標的とする新しいマルウェア・ファミリーの動きを確認した。FiXS という名の、ロシアのメタデータを持つ脅威アクターは、現時点ではメキシコの銀行を標的にしている、CEN XFS をサポートする全ての ATM を標的にできることが判明している。これまでに活動してきた Ploutus ATM マルウェアと同様に、FiXS の展開には外部キーボードが必要となるため、サイバー犯罪者による ATM への物理的なアクセスが行われているようだ。
ラテン・アメリカの組織に対して、サイバー・セキュリティのソリューション/サービスを提供する Metabase Q によると、FiXS は無害に見えるプログラムの中に潜み、感染したマシンに対して再起動から 30分後に現金払い出すように指示し、払い出す前にカセットがロードされるのを待つという。
FiXS マルウェアは、システムの一時ディレクトリに保存されるドロッパーに埋め込まれて展開され、XOR 命令でデコードされる。その後に、このマルウェアは、ShellExecute Windows API を介して実行される。
このマルウェアは、CEN XFS API を用いて実装されており、わずかな修正で、すべての Windows ベース ATM で実行が可能となる。
FiXS は無限ループで実行され、ウィンドウに表示される入力、および、現金ユニット情報の表示、セッションの終了、プロセスの終了といった、現金の払い出しのためのキーボード入力を特定していく。
Ploutus などの洗練された ATM マルウェアとは異なり、この脅威はリッチなインターフェィスを持たず、表示するのは、各カセット内の紙幣数/リサイクル箱内の紙幣数/リジェクト箱内の紙幣数のみである。
このマルウェアは、再起動から30分後に ATM に現金を払い出すよう指示し、運び屋が直ちに現金を回収する仕組みだと、Metabase Q は推測している。
Metabase Q は、「現金主義経済の金融システム・チェーンにおける ATM の重要性を考えると、この種のマルウェアによる攻撃は、まだ終わっていないと捉えるべきだ。銀行や金融機関は、デバイスの潜在的な侵害を想定し、この種の脅威の検出から対応までの時間を、短縮することに注力することが重要となる」と指摘している。
この記事だけでは、手口の説明に不明な部分が残りますが、とにかく銀行 ATM であっても、サイバー攻撃の対象になることが分かりました。また、CEN XFS をサポートする全ての ATM を標的にできることも判明しているとのことです。日本の状況を確認したいと思いググってみたら、最近のものとしては 2021年12月8日の、セブン銀行への Microsoft による導入事例が紹介されていました。ただし、Windows という単語は1つもなく、すべれが Azure で統一されていました。
IoT OT Security News 
You must be logged in to post a comment.