新型ATM恶意软件针对墨西哥银行通过发送SMS消息窃取现金

在最近的网络安全观察中，一种名为 FiXS 的新型 ATM 恶意软件变种自 2023 年 2 月开始以来持续针对墨西哥银行。

ATM 恶意软件隐藏在另一个看起来并不恶意的程序中，除了需要通过外部键盘进行交互外，基于 Windows 的 ATM 恶意软件与供应商无关，并且能够感染任何支持CEN/XFS（金融服务扩展的简称）的柜员机。

目前确切的攻击手法仍未知，攻击者可能找到了一种通过触摸屏与 ATM 进行交互的方法。

据说 FiXS 还类似于代号为 Ploutus 的另一种 ATM 恶意软件，它使网络犯罪分子能够通过使用外部键盘或发送 SMS 消息从 ATM 提取现金。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，FiXS 的显着特征之一是它能够在最后一次 ATM 重新启动后 30 分钟通过利用 Windows GetTickCount API取款。

安全研究人员分析的样本是通过名为 Neshta (conhost.exe) 的释放器传送的，这是一种用Delphi编码的文件感染病毒，最早于 2003 年被发现。

极牛攻防实验室表示，FiXS 是通过 CEN XFS API 实现的，这使得可以在每台基于 Windows 的 ATM 上运行，几乎不需要调整，类似于RIPPER等其他恶意软件，FiXS 与犯罪分子互动的方式是通过外部键盘。

FiXS 成为一长串恶意软件中的最新成员，例如Ploutus、Prilex、SUCEFUL、GreenDispenser、RIPPER、Alice、ATMitch、Skimer和ATMii，这些恶意软件的目标都是窃取 ATM 的现金。

此后，Prilex 还发展成为一种模块化的销售点 (PoS) 恶意软件，可通过多种方法实施信用卡欺诈，包括阻止非接触式支付交易。