Un nuevo malware bautizado FiXS fue reportado a fines de febrero y está atacando a los cajeros automáticos de la región latinoamericana, mayormente en México, con el objetivo de vaciar cajeros por completo. En este marco, Auriga aconseja implementar sistemas de seguridad que partan del enfoque de confianza cero para los cajeros automáticos ante la nueva amenaza.
Si bien FiXS es una variante de malware ATM nueva, según reportó Metabase Q, las técnicas y tácticas que utiliza no son diferentes de las de otras familias de malware ya conocidas, como Ploutus, Tyupkin, Alice, Ripper o Cobalt.
FiXS está diseñado para ser operado por el atacante y, a su vez, puede controlar los dispositivos de un cajero automático desde un teclado conectado de manera externa. Se disfraza con el nombre de un ejecutable común del sistema, que se encarga de extraer el malware y copiarlo en el sistema de archivos del cajero automático en un directorio temporal.
Desde ahí, FiXS hace uso de la biblioteca MSXFS.dll para interactuar con la API de los servicios financieros extendidos (XFS), desde donde puede enviar órdenes a los dispositivos de hardware, como el dispensador.
Esta amenaza toma mayor relevancia si se tienen en consideración los datos de la Asociación de Bancos de México (ABM) y la American Chamber (AmCham), que revelaron que México fue blanco del 66 por ciento de los ataques cibernéticos ocurridos en América Latina durante el periodo de 2021-2022, lo que ocasionó pérdidas de entre tres mil y cinco mil millones de dólares por año. Así, sólo en 2022 se registraron 15 intentos de ciberataques al sistema financiero mexicano, de acuerdo con el estudio Evaluación de la Ciberseguridad en el Sistema Financiero Mexicano, elaborado por el Banco de México (Banxico).
Las 4 etapas del ataque de FiXS
En primer lugar, los ciberdelincuentes roban un disco duro de un cajero automático de producción, que contiene el stack de software completo utilizado por la institución financiera, lo analizan y lo someten a ingeniería inversa para preparar un ataque dirigido, incluyendo el desarrollo del malware (como es el caso de FiXS).
Una vez completada la fase de I+D, proceden a la infección de cajeros cargados con efectivo, mediante el acceso físico al dispositivo a través de teclados externos y memorias USB para introducir el malware. Es importante que el malware sea persistente para que se ejecute automáticamente al iniciarse el cajero automático, lo que logran reemplazando los ejecutables legítimos del sistema o configurando la ejecución automática en el momento del inicio.
De este modo, el malware se ejecutará en segundo plano esperando un código de activación y con pleno acceso al middleware XFS para enviar comandos al dispensador. Aquí, ya estarían listos para la extracción ilegítima del efectivo, que puede ser realizada por otros actores que acceden físicamente al cajero y pueden ingresar un código de activación que despierta el malware activando una interfaz gráfica de usuario (GUI). Otros métodos de activación pueden ser el propio pinpad, el uso de tarjetas falsificadas o incluso la conexión de un dispositivo móvil y el recibimiento de un SMS.
Finalmente, una vez que se completa el reintegro, algunas familias de malware brindan un mecanismo de limpieza/desinstalación para eliminar cualquier rastro del ataque.
“Todos los cajeros automáticos son vulnerables” – subraya Aramendía -“Pese a que lo recomendable es una actualización constante de los sistemas operativos, en este caso, los cajeros automáticos con Windows 10 son tan vulnerables como los que ejecutan Windows 7 o XP.” La razón es que el malware para cajeros automáticos está muy dirigido y no explota las vulnerabilidades del sistema operativo, sino las vulnerabilidades de diseño del stack de software de cajeros automáticos, como la falta de autenticación en la capa XFS.
¿Cómo pueden los bancos hacer frente a este tipo de malware?
Auriga desarrolló una plataforma Lookwise Device Manager (LDM) basada en el enfoque Zero Trust. En el caso de FiXS, impediría el acceso a la biblioteca MSXFS.dll, evitaría la manipulación del sistema de archivos fuera de línea y, por tanto, bloquearía los intentos de copiar el malware en el sistema de archivos del cajero automático.
Las soluciones que mejor podrán hacer frente a amenazas como FiXS son aquellas que estén formuladas desde el enfoque Zero Trust. Esta perspectiva es de los temas más actuales en ciberseguridad e implica tanto la presunción de que la infraestructura se verá comprometida, como la aplicación concreta del concepto de “nunca confiar, siempre verificar».