FASTCash Linux Malware

Agentes de ameaças norte-coreanos desenvolveram uma variante Linux até então desconhecida do malware FASTCash, que eles estão implantando para comprometer os sistemas de pagamento de instituições financeiras, facilitando saques ilícitos de dinheiro.

Versões anteriores do FASTCash eram conhecidas por atingir sistemas Windows e IBM AIX (Unix). No entanto, de acordo com um relatório recente do pesquisador de segurança HaxRob, uma variante Linux recém-descoberta agora está mirando distribuições Ubuntu 22.04 LTS, marcando a primeira detecção desta versão.

O FASTCash Malware Tem como Alvo os Caixas Eletrônicos Há Anos

Em dezembro de 2018, a CISA (Cybersecurity and Infrastructure Security Agency) emitiu seu primeiro alerta sobre o esquema de saque de caixas eletrônicos FASTCash, atribuindo a atividade ao grupo de hackers patrocinado pelo estado norte-coreano chamado "Hidden Cobra". Investigações da agência revelaram que os invasores estavam usando o FASTCash desde pelo menos 2016, orquestrando ataques simultâneos de saque em caixas eletrônicos em mais de 30 países, roubando dezenas de milhões de dólares por operação.

Em 2020, o Comando Cibernético dos EUA deu alarmes novamente, vinculando a atividade renovada do FASTCash 2.0 ao APT38 (Lazarus). Em 2021, indiciamentos foram anunciados para três indivíduos norte-coreanos acusados de roubar mais de US$ 1,3 bilhão de instituições financeiras globalmente.

Uma Nova Variante Detectada pelos Pesquisadores

A variante mais recente do FASTCash, descoberta em junho de 2023, compartilha muitas características operacionais com seus predecessores visando sistemas Windows e AIX. Esta versão aparece como uma biblioteca compartilhada que é injetada em um processo em execução em um servidor de switch de pagamento, usando a chamada de sistema 'ptrace' para conectar-se a funções de rede.

Os switches de pagamento agem como intermediários, facilitando a comunicação entre caixas eletrônicos ou terminais PoS e os sistemas centrais de um banco, roteando solicitações e respostas de transações. O malware explora esses switches interceptando e manipulando mensagens de transação ISO8583, que são essenciais para o processamento de cartões de débito e crédito no setor financeiro.

O malware tem como alvo específico mensagens que normalmente recusariam transações devido a fundos insuficientes na conta do titular do cartão. Ele modifica essas mensagens, substituindo a resposta "recusar" por uma resposta "aprovar".

Além disso, as mensagens alteradas autorizam um valor de retirada aleatório entre 12.000 e 30.000 liras turcas (US$ 350 - US$ 875). Depois que a mensagem manipulada é enviada de volta aos sistemas centrais do banco, incluindo códigos de aprovação (DE38, DE39) e o valor autorizado (DE54), o banco aprova a transação. Uma mula de dinheiro trabalhando em nome dos atacantes então retira o dinheiro de um caixa eletrônico.

Desde sua descoberta, acredita-se que essa variante do Linux contorna a maioria das ferramentas de segurança padrão, permitindo que invasores realizem transações fraudulentas sem serem detectados. Especialistas em segurança cibernética também encontraram sinais sugerindo que os hackers estão continuamente refinando seu conjunto de ferramentas, com evidências de uma nova versão do FASTCash para Windows surgindo em setembro de 2024.