Hackers norte-coreanos estão utilizando uma nova variante Linux do malware FASTCash para infectar os sistemas de comutação de pagamentos de instituições financeiras e realizar saques em dinheiro não autorizados.
Variantes anteriores do FASTCash visavam sistemas Windows e IBM AIX (Unix), mas um novo relatório do pesquisador de segurança HaxRob revela uma versão Linux anteriormente não detectada que tem como alvo distribuições Ubuntu 22.04 LTS.
A CISA alertou pela primeira vez sobre o esquema de saque automático FASTCash em dezembro de 2018, atribuindo a atividade ao grupo de hackers norte-coreano apoiado pelo estado conhecido como 'Hidden Cobra.'
De acordo com as investigações da agência, os atores de ameaças têm usado FASTCash em operações desde pelo menos 2016, roubando dezenas de milhões de dólares por incidente em ataques simultâneos de saque em ATM em 30 países ou mais.
Em 2020, o Cyber Command dos EUA destacou a ameaça mais uma vez, vinculando a atividade revivida do FASTCash 2.0 ao APT38 (Lazarus).
Um ano depois, foram anunciadas acusações contra três norte-coreanos supostamente envolvidos nesses esquemas, responsáveis pelo roubo de mais de $1.3 bilhão de instituições financeiras em todo o mundo.
A nova variante identificada por HaxRob foi submetida pela primeira vez ao VirusTotal em junho de 2023 e apresenta amplas semelhanças operacionais com as variantes Windows e AIX anteriores.
Ela aparece na forma de uma biblioteca compartilhada que é injetada em um processo em execução em um servidor de comutação de pagamentos com a ajuda da chamada de sistema 'ptrace', enganchando-a em funções de rede.
Esses switches são intermediários que lidam com a comunicação entre terminais de ATM/PoS e os sistemas centrais do banco, roteando solicitações de transações e respostas.
O malware intercepta e manipula mensagens de transação ISO8583 usadas na indústria financeira para processamento de cartões de débito e crédito.
Especificamente, o malware visa mensagens que se referem a declínios das transações devido a fundos insuficientes na conta do titular do cartão e substitui a resposta de "decline" por "approve".
A mensagem manipulada também contém uma quantia aleatória de dinheiro entre 12.000 e 30.000 Liras Turcas ($350 - $875) para autorizar a transação solicitada.
Uma vez que a mensagem manipulada é enviada de volta aos sistemas centrais do banco contendo os códigos de aprovação (DE38, DE39) e o valor (DE54), o banco aprova a transação, e um dinheiro mula agindo em nome dos hackers retira o dinheiro de um ATM.
Até sua descoberta, a variante Linux do FASTCash não tinha detecções no VirusTotal, o que significa que poderia evadir a maioria das ferramentas de segurança padrão, permitindo que os atores de ameaças realizassem transações sem impedimentos.
HaxRob também relata que uma nova versão Windows foi submetida no VT em setembro de 2024, indicando que os hackers estão ativamente trabalhando em evoluir todas as peças do seu arsenal.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...