Un nuovo malware per hackerare i Bancomat è stato rilevato in Messico

Metabase Q ha annunciato l’emergere di una nuova famiglia di malware destinata agli sportelli automatici in America Latina. Il malware, soprannominato FiXS, ha attaccato le banche messicane dall’inizio di febbraio 2023, ma può anche essere utilizzato per compromettere qualsiasi altro bancomat che supporti CEN XFS.

I ricercatori scrivono che l’esatto metodo di compromissione è ancora sconosciuto, ma è probabile che “gli aggressori abbiano trovato un modo per interagire con l’ATM attraverso il touch screen”. 

Si nota inoltre che il malware ATM si nasconde “all’interno di un altro programma che non sembra un malware”. Per essere più precisi, il campione studiato dagli esperti viene fornito tramite  il dropper Neshta (conhost.exe), che è scritto in Delphi ed è stato scoperto per la prima volta nel 2003.

Secondo gli esperti, FiXS è simile a un altro malware ATM chiamato Ploutus, che consente ai criminali di prelevare contanti dagli sportelli automatici utilizzando una tastiera esterna o inviando messaggi SMS. 

Ciò suggerisce che gli aggressori introducano malware attraverso l’accesso fisico agli sportelli automatici.

Oltre alla necessità di interazione tramite una tastiera esterna, FiXS può essere utilizzato per qualsiasi bancomat basato su Windows e non è legato a un fornitore specifico. Infatti, il malware è in grado di infettare qualsiasi macchina che supporti CEN/XFS (eXtensions for Financial Services).

Una caratteristica notevole di FiXS è la sua capacità di forzare un bancomat a erogare denaro 30 minuti dopo l’ultimo riavvio (utilizzando l’API GetTickCount di Windows). Metabase Q suggerisce che poco dopo l’installazione del malware, il denaro emesso viene recuperato dai criminali.

“FiXS è implementato utilizzando l’API CEN XFS, che si trova in quasi tutti gli ATM basati su Windows (così come altri malware, come RIPPER)”, osservano i ricercatori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.