La nueva variante de Linux del malware FASTCash ayuda a robar dinero de los cajeros automáticos
Los piratas informáticos norcoreanos están utilizando una nueva variante de Linux del malware FASTCash para infectar los sistemas de conmutación de pagos de las instituciones financieras y realizar retiros de efectivo no autorizados.
Las variantes anteriores de FASTCash estaban dirigidas a sistemas Windows e IBM AIX (Unix), pero un nuevo informe del investigador de seguridad HaxRob revela una versión de Linux no detectada previamente que apunta a distribuciones Ubuntu 22.04 LTS.
Historia del robo de dinero
CISA primero advertido sobre el esquema de retiro de efectivo en cajeros automáticos FASTCash en diciembre de 2018, atribuyendo la actividad al grupo de piratería norcoreano respaldado por el estado conocido como ‘Hidden Cobra’.
Según las investigaciones de la agencia, los actores de amenazas han estado utilizando FASTCash en operaciones desde al menos 2016, robando decenas de millones de dólares por incidente en ataques simultáneos de retiro de cajeros automáticos en 30 países o más.
En 2020, el Comando Cibernético de EE. UU. destacó una vez más la amenaza, vinculando a los revividos FAST Cash 2.0 actividad a APT38 (Lázaro).
Un año después, se anunciaron acusaciones para tres norcoreanos presuntamente involucrados en estos planes, responsables del robo de más de 1.300 millones de dólares de instituciones financieras de todo el mundo.
Retirar dinero de Linux
La variante más nueva descubierto por HaxRob se envió por primera vez a VirusTotal en junio de 2023 y presenta amplias similitudes operativas con variantes anteriores de Windows y AIX.
Viene en forma de una biblioteca compartida que se inyecta en un proceso en ejecución en un servidor de conmutación de pago con la ayuda de la llamada al sistema ‘ptrace’, conectándolo a funciones de red.
Estos conmutadores son intermediarios que manejan la comunicación entre los cajeros automáticos/terminales PoS y los sistemas centrales del banco, enrutando las solicitudes y respuestas de transacciones.
El malware intercepta y manipula mensajes de transacciones ISO8583 utilizados en la industria financiera para el procesamiento de tarjetas de débito y crédito.
Específicamente, el malware apunta a mensajes que se refieren a rechazos de transacciones debido a fondos insuficientes en la cuenta del titular de la tarjeta y reemplaza la respuesta «rechazar» por «aprobar».
Fuente: doubleagent.net
El mensaje manipulado también contiene una cantidad aleatoria de dinero entre 12.000 y 30.000 liras turcas (entre 350 y 875 dólares) para autorizar la transacción solicitada.
Una vez que el mensaje manipulado se envía de vuelta a los sistemas centrales del banco que contiene los códigos de aprobación (DE38, DE39) y el monto (DE54), el banco aprueba la transacción y una mula de dinero que actúa en nombre de los piratas informáticos retira el efectivo de un cajero automático. .
En el momento de su descubrimiento, la variante Linux de FASTCash no tuvo detecciones en VirusTotal, lo que significa que podía evadir la mayoría de las herramientas de seguridad estándar, permitiendo a los actores de amenazas realizar transacciones sin inmutarse.
HaxRob también informa que se envió una nueva versión de Windows a VT en septiembre de 2024, lo que indica que los piratas informáticos están trabajando activamente en la evolución de todas las piezas de su conjunto de herramientas.