Atores de ameaças norte-coreanos foram observados usando uma variante Linux de uma família de malware conhecida chamada FASTCash roubar fundos como parte de uma campanha com motivação financeira.
O malware é “instalado em switches de pagamento dentro de redes comprometidas que lidam com transações com cartão para facilitar a retirada não autorizada de dinheiro em caixas eletrônicos”, disse um pesquisador de segurança conhecido como HaxRob.
O FASTCash foi documentado pela primeira vez pelo governo dos EUA em outubro de 2018 como sendo utilizado por adversários ligados à Coreia do Norte em conexão com um esquema de saque em caixas eletrônicos visando bancos na África e na Ásia desde pelo menos o remaining de 2016.
“Os esquemas FASTCash comprometem remotamente os servidores de aplicativos de troca de pagamento dentro dos bancos para facilitar transações fraudulentas”, observaram as agências na época.
“Em um incidente em 2017, os atores do HIDDEN COBRA permitiram que dinheiro fosse retirado simultaneamente de caixas eletrônicos localizados em mais de 30 países diferentes. Em outro incidente em 2018, os atores do HIDDEN COBRA permitiram que o dinheiro fosse retirado simultaneamente de caixas eletrônicos em 23 países diferentes.”
Embora os artefatos anteriores do FASTCash tenham sistemas executando Microsoft Home windows (incluindo um detectado recentemente no mês passado) e IBM AIX, as descobertas mais recentes mostram que amostras projetadas para infiltração em sistemas Linux foram enviadas pela primeira vez à plataforma VirusTotal em meados de junho de 2023.
O malware assume a forma de um objeto compartilhado (“libMyFc.so”) compilado para Ubuntu Linux 20.04. Ele foi projetado para interceptar e modificar mensagens de transação ISO 8583 usadas para processamento de cartões de débito e crédito, a fim de iniciar retiradas não autorizadas de fundos.
Especificamente, envolve a manipulação de mensagens de transações recusadas (furto magnético) devido a fundos insuficientes para uma lista predefinida de números de contas de titulares de cartão e a aprovação deles para retirar uma quantia aleatória de fundos em liras turcas.
Os fundos retirados por transação fraudulenta variam de 12.000 a 30.000 liras (US$ 350 a US$ 875), refletindo um artefato Home windows FASTCash (“swap.dll”) previamente detalhado pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) em setembro de 2020.
“(A) descoberta da variante Linux enfatiza ainda mais a necessidade de capacidades de detecção adequadas que muitas vezes faltam em ambientes de servidores Linux”, disse o pesquisador.