在最近的網(wǎng)絡(luò)安全觀察中，一種名為 FiXS 的新型 ATM 惡意軟件變種自 2023 年 2 月開始以來持續(xù)針對墨西哥銀行。

ATM 惡意軟件隱藏在另一個(gè)看起來并不惡意的程序中，除了需要通過外部鍵盤進(jìn)行交互外，基于 Windows 的 ATM 惡意軟件與供應(yīng)商無關(guān)，并且能夠感染任何支持CEN/XFS（金融服務(wù)擴(kuò)展的簡稱）的柜員機(jī)。

目前確切的攻擊手法仍未知，攻擊者可能找到了一種通過觸摸屏與 ATM 進(jìn)行交互的方法。

據(jù)說 FiXS 還類似于代號為 Ploutus 的另一種 ATM 惡意軟件，它使網(wǎng)絡(luò)犯罪分子能夠通過使用外部鍵盤或發(fā)送 SMS 消息從 ATM 提取現(xiàn)金。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，F(xiàn)iXS 的顯著特征之一是它能夠在最后一次 ATM 重新啟動(dòng)后 30 分鐘通過利用 Windows GetTickCount API取款。

安全研究人員分析的樣本是通過名為 Neshta (conhost.exe) 的釋放器傳送的，這是一種用Delphi編碼的文件感染病毒，最早于 2003 年被發(fā)現(xiàn)。

極牛攻防實(shí)驗(yàn)室表示，F(xiàn)iXS 是通過 CEN XFS API 實(shí)現(xiàn)的，這使得可以在每臺基于 Windows 的 ATM 上運(yùn)行，幾乎不需要調(diào)整，類似于RIPPER等其他惡意軟件，F(xiàn)iXS 與犯罪分子互動(dòng)的方式是通過外部鍵盤。

FiXS 成為一長串惡意軟件中的最新成員，例如Ploutus、Prilex、SUCEFUL、GreenDispenser、RIPPER、Alice、ATMitch、Skimer和ATMii，這些惡意軟件的目標(biāo)都是竊取 ATM 的現(xiàn)金。

此后，Prilex 還發(fā)展成為一種模塊化的銷售點(diǎn) (PoS) 惡意軟件，可通過多種方法實(shí)施信用卡欺詐，包括阻止非接觸式支付交易。