Des auteurs de menaces nord-coréens ont été observés en train d’utiliser une variante Linux d’une famille de logiciels malveillants connue appelée RAPIDECash pour voler des fonds dans le cadre d’une campagne à motivation financière.
Le malware est « installé sur des commutateurs de paiement au sein de réseaux compromis qui gèrent les transactions par carte dans le but de faciliter le retrait non autorisé d’argent aux distributeurs automatiques », a déclaré un chercheur en sécurité connu sous le nom de HaxRob. dit.
FASTCash a été documenté pour la première fois par le gouvernement américain en octobre 2018 comme étant utilisé par des adversaires liés à la Corée du Nord dans le cadre d’un système de retrait aux distributeurs automatiques ciblant les banques d’Afrique et d’Asie depuis au moins fin 2016.
« Les systèmes FASTCash compromettent à distance les serveurs d’applications de commutation de paiement au sein des banques pour faciliter les transactions frauduleuses », notaient alors les agences.
« Lors d’un incident survenu en 2017, les acteurs de HIDDEN COBRA ont permis de retirer simultanément de l’argent aux distributeurs automatiques situés dans plus de 30 pays différents. Lors d’un autre incident survenu en 2018, les acteurs de HIDDEN COBRA ont permis de retirer simultanément de l’argent aux distributeurs automatiques de 23 pays différents. »
Alors que les artefacts FASTCash précédents disposaient de systèmes exécutant Microsoft Windows (y compris un repéré le mois dernier) et IBM AIX, les dernières découvertes montrent que des échantillons conçus pour infiltrer les systèmes Linux ont été soumis pour la première fois sur la plateforme VirusTotal à la mi-juin 2023.
Le malware prend la forme d’un objet partagé (« libMyFc.so ») compilé pour Ubuntu Linux 20.04. Il est conçu pour intercepter et modifier OIN 8583 messages de transaction utilisés pour le traitement des cartes de débit et de crédit afin d’initier des retraits de fonds non autorisés.
Plus précisément, cela implique de manipuler les messages de transaction refusés (par balayage magnétique) en raison de fonds insuffisants pour une liste prédéfinie de numéros de compte de titulaire de carte et de les approuver pour retirer un montant aléatoire de fonds en livres turques.
Les fonds retirés par transaction frauduleuse vont de 12 000 à 30 000 lires (350 à 875 dollars), reflétant un artefact Windows FASTCash (« switch.dll »). précédemment détaillé par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis en septembre 2020.
« [The] La découverte de la variante Linux souligne encore davantage la nécessité de capacités de détection adéquates qui font souvent défaut dans les environnements de serveurs Linux », a déclaré le chercheur.