美国联邦调查局警告说，使用恶意软件的自动取款机 "中奖 "攻击不断增加

联邦调查局于 2026 年 2 月 19 日发布了IC3 FLASH 警报。美国联邦调查局于 2026 年 2 月 19 日发布了一份 IC3 FLASH 公告，警告全美恶意软件支持的 ATM "中奖 "事件正在增加。该局称，该公告旨在发布技术细节和入侵指标 (IOC)，以便银行、ATM 运营商和服务提供商能够加固机器，及早发现入侵事件。

规模非同小可。联邦调查局称，在 2020 年以来报告的 1,900 起 "中奖 "事件中，仅 2025 年就发生了 700 多起，损失超过 2,000 万美元。

本咨询中的 "ATM 中奖 "是指什么？

在中奖过程中，犯罪分子不需要窃取银行卡数据或盗用客户账户。相反，他们瞄准的是自动取款机本身，利用恶意软件迫使机器在没有合法交易的情况下发放现金。联邦调查局将这些事件描述为快速的 "套现 "行动，只有在钱被取走后才会被发现。

Ploutus 和 XFS 的作用

咨询指出了包括 Ploutus 系列在内的中奖恶意软件。联邦调查局称，Ploutus 的目标是金融服务扩展程序 (XFS)......这个软件层告诉 ATM 硬件要执行哪些操作。在正常流程中，ATM 应用程序通过 XFS 发送指令，作为需要银行授权的交易的一部分。联邦调查局称，如果攻击者可以向 XFS 发送自己的命令，他们就可以完全绕过授权，指示 ATM 按需发放现金。

常见感染途径：物理访问是第一位的

联邦调查局在文章中强调，许多攻击都是从物理访问开始的，通常是通过使用广泛可用的通用密钥打开 ATM 机面。随后，FBI 列出了常见的部署方法，包括移除硬盘驱动器、使用另一台计算机将恶意软件复制到硬盘驱动器上、重新安装硬盘驱动器并重启 ATM，或者在重启之前将硬盘驱动器与预装了恶意软件的 "外来 "硬盘驱动器或外部设备进行交换。

为什么基于 Windows 的自动取款机属于攻击范围

联邦调查局称，恶意软件可以在不同的自动取款机制造商之间使用，只需进行相对较小的调整，因为该漏洞利用的是受影响自动取款机上的 Windows 操作系统。据描述，该恶意软件可直接与 ATM 硬件交互，无需访问银行客户账户即可分配现金。

IOCs, FBI says defenders should look for

该公告列出了在运行 Windows 的受影响自动取款机上观察到的一系列数字指标。包括 Newage.exe、Color.exe、Levantaito.exe、NCRApp.exe、sdelete.exe、Promo.exe、WinMonitor.exe、WinMonitorCheck.exe、Anydesk1.exe 等可疑可执行文件，以及 C.dat 和 Restaurar.bat 等相关文件/脚本和新创建的目录。它还包括与观察到的人工制品相关的多个 MD5 哈希值。

除了文件伪装外，FBI 还会标记远程访问工具的潜在滥用（例如，未经授权的 TeamViewer/AnyDesk），并通过 Windows 注册表/服务位置下的异常自动运行和自定义服务查找异常持久性。

可揭示分期的物理/日志指标

由于中奖通常涉及现场篡改，FBI 还指出了 "物理交互指标"，包括 USB 插入事件和对 USB 键盘、USB 集线器和闪存驱动器等连接设备的检测。操作红旗包括维护窗口外的 ATM 开门警报、意外的低现金/无现金状态、未经授权的设备连接和硬盘移除。

缓解指南："金图像"、可移动媒体审计和分层物理控制

最具有可操作性的部分之一是联邦调查局对基线和完整性的强调：它建议根据受控 "黄金镜像 "验证 ATM 文件/哈希值，并将偏差（尤其是未签名或新引入的二进制文件）视为潜在的入侵。

联邦调查局还建议围绕可移动存储的使用、受控文件访问和进程创建制定有针对性的审计政策，以检测可逃避网络监控的分期活动。

在物理方面，联邦调查局的建议很直接：增加进入机器的难度，更容易发现篡改行为。这包括升级门锁，使普通钥匙无法使用；为服务面板添加警报器；使用传感器检测异常移动或热量；限制进入现金箱；确保摄像头适当覆盖 ATM，并长时间保留有用的录像。

报告还提到了加固步骤，如设备白名单以阻止未经授权的硬件连接、固件完整性检查（包括启动时基于 TPM 的完整性检查）以及磁盘加密，以减少通过移除和修改机器外的驱动器而引入恶意软件的机会。

FBI 要求各组织报告的内容

关于事件报告，FBI 鼓励对于事件报告，联邦调查局鼓励各机构联系当地的联邦调查局外地办事处或通过 IC3 提交报告，并要求提供银行/分行标识符、ATM 厂商/型号、供应商信息和可用日志等实际细节。