Malware Linux FASTCash

Gli autori di minacce nordcoreane hanno sviluppato una variante Linux finora sconosciuta del malware FASTCash, che stanno utilizzando per compromettere i sistemi di pagamento degli istituti finanziari, facilitando i prelievi illeciti di denaro.

Le versioni precedenti di FASTCash erano note per aver preso di mira i sistemi Windows e IBM AIX (Unix). Tuttavia, secondo un recente rapporto del ricercatore di sicurezza HaxRob, una variante Linux appena scoperta sta ora prendendo di mira le distribuzioni Ubuntu 22.04 LTS, segnando il primo rilevamento di questa versione.

Il malware FASTCash prende di mira gli sportelli bancomat da anni

Nel dicembre 2018, la CISA (Cybersecurity and Infrastructure Security Agency) ha emesso il suo primo avviso in merito al sistema di prelievo bancomat FASTCash, attribuendo l'attività al gruppo di hacker nordcoreano sponsorizzato dallo Stato chiamato "Hidden Cobra". Le indagini dell'agenzia hanno rivelato che gli aggressori utilizzavano FASTCash almeno dal 2016, orchestrando attacchi simultanei di prelievo bancomat in oltre 30 Paesi, rubando decine di milioni di dollari per operazione.

Nel 2020, l'US Cyber Command ha lanciato di nuovo l'allarme, collegando la rinnovata attività di FASTCash 2.0 ad APT38 (Lazarus). Nel 2021, sono state annunciate incriminazioni per tre individui nordcoreani accusati di aver rubato più di 1,3 miliardi di dollari da istituzioni finanziarie a livello globale.

Una nuova variante individuata dai ricercatori

L'ultima variante di FASTCash, scoperta a giugno 2023, condivide molte caratteristiche operative con i suoi predecessori che miravano ai sistemi Windows e AIX. Questa versione appare come una libreria condivisa che viene iniettata in un processo in esecuzione su un server di commutazione dei pagamenti, utilizzando la chiamata di sistema "ptrace" per agganciarsi alle funzioni di rete.

Gli switch di pagamento agiscono da intermediari, facilitando la comunicazione tra gli sportelli bancomat o i terminali PoS e i sistemi centrali di una banca, instradando le richieste e le risposte delle transazioni. Il malware sfrutta questi switch intercettando e manipolando i messaggi di transazione ISO8583, essenziali per l'elaborazione delle carte di debito e di credito nel settore finanziario.

Il malware prende di mira in modo specifico i messaggi che normalmente rifiuterebbero le transazioni a causa di fondi insufficienti nel conto del titolare della carta. Modifica questi messaggi, sostituendo la risposta "rifiuta" con una risposta "approva".

Inoltre, i messaggi alterati autorizzano un importo di prelievo casuale compreso tra 12.000 e 30.000 lire turche ($ 350 - $ 875). Una volta che il messaggio manipolato viene rispedito ai sistemi centrali della banca, inclusi i codici di approvazione (DE38, DE39) e l'importo autorizzato (DE54), la banca approva la transazione. Un money mule che lavora per conto degli aggressori preleva quindi il denaro da un bancomat.

Sin dalla sua scoperta, si ritiene che questa variante di Linux aggiri la maggior parte degli strumenti di sicurezza standard, consentendo agli aggressori di effettuare transazioni fraudolente senza essere scoperti. Gli esperti di sicurezza informatica hanno anche trovato segnali che suggeriscono che gli hacker stanno continuamente perfezionando il loro set di strumenti, con prove di una nuova versione Windows di FASTCash in arrivo a settembre 2024.