Se ha observado que los actores de amenazas norcoreanos utilizan una variante de Linux de una conocida familia de malware llamada FASTCash para robar fondos como parte de una campaña con motivación financiera.
El malware está “instalado en interruptores de pago dentro de redes comprometidas que manejan transacciones con tarjeta para facilitar el retiro no autorizado de efectivo de los cajeros automáticos”, dijo un investigador de seguridad que se hace llamar HaxRob. dicho.
FASTCash fue documentado por primera vez por el gobierno de EE. UU. en octubre de 2018 como utilizado por adversarios vinculados a Corea del Norte en relación con un plan de retiro de efectivo en cajeros automáticos dirigido a bancos en África y Asia desde al menos finales de 2016.
“Los esquemas FASTCash comprometen de forma remota los servidores de aplicaciones de conmutación de pagos dentro de los bancos para facilitar transacciones fraudulentas”, señalaron las agencias en ese momento.
“En un incidente en 2017, los actores de HIDDEN COBRA permitieron retirar efectivo simultáneamente de cajeros automáticos ubicados en más de 30 países diferentes. En otro incidente en 2018, los actores de HIDDEN COBRA permitieron retirar efectivo simultáneamente de cajeros automáticos en 23 países diferentes”.
Si bien los artefactos FASTCash anteriores tienen sistemas que ejecutan Microsoft Windows (incluido uno detectado tan recientemente como el mes pasado) e IBM AIX, los últimos hallazgos muestran que las muestras diseñadas para infiltrarse en sistemas Linux fueron enviado por primera vez a la plataforma VirusTotal a mediados de junio de 2023.
El malware toma la forma de un objeto compartido (“libMyFc.so”) compilado para Ubuntu Linux 20.04. Está diseñado para interceptar y modificar ISO 8583 mensajes de transacciones utilizados para el procesamiento de tarjetas de débito y crédito con el fin de iniciar retiros de fondos no autorizados.
Específicamente, implica manipular mensajes de transacciones rechazadas (deslizamiento magnético) debido a fondos insuficientes para una lista predefinida de números de cuenta de titulares de tarjetas y aprobarles para retirar una cantidad aleatoria de fondos en liras turcas.
Los fondos retirados por transacción fraudulenta oscilan entre 12.000 y 30.000 liras (entre 350 y 875 dólares), reflejando un artefacto FASTCash de Windows (“switch.dll”) previamente detallado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en septiembre de 2020.
“[The] El descubrimiento de la variante de Linux enfatiza aún más la necesidad de capacidades de detección adecuadas que a menudo faltan en los entornos de servidores Linux”, afirmó el investigador.