Hackers norte-coreanos estão utilizando uma nova variante do malware FASTCash, agora adaptada para Linux, para infectar sistemas de pagamento de instituições financeiras e realizar saques não autorizados de caixas eletrônicos (ATMs). Anteriormente, o malware visava apenas sistemas Windows e IBM AIX (Unix), mas uma nova análise do pesquisador de segurança HaxRob revelou uma versão inédita focada em distribuições Ubuntu 22.04 LTS.
Histórico de Roubo
O esquema FASTCash foi inicialmente revelado pela CISA em 2018, sendo atribuído ao grupo de hackers norte-coreano conhecido como Hidden Cobra, ativo desde 2016. Esses ataques já causaram o roubo de dezenas de milhões de dólares em saques simultâneos de ATMs em mais de 30 países. Em 2020, o Comando Cibernético dos EUA alertou sobre uma nova versão do FASTCash 2.0, vinculada ao grupo APT38 (também conhecido como Lazarus), resultando em acusações contra três norte-coreanos, acusados de roubar mais de US$ 1,3 bilhão de instituições financeiras globais.
Visão geral operacional do FASTCash
Fonte: doubleagent.net
Variante Linux
A mais recente variante detectada foi enviada ao VirusTotal em junho de 2023, mostrando semelhanças operacionais com as versões anteriores para Windows e AIX. Esta versão vem na forma de uma biblioteca compartilhada injetada em um processo em execução no servidor de switch de pagamento, utilizando a chamada de sistema ptrace. Esses servidores de switch de pagamento são responsáveis por gerenciar a comunicação entre terminais de ATMs/PoS e os sistemas centrais dos bancos.
O malware intercepta e manipula mensagens ISO8583, padrão usado no processamento de cartões de crédito e débito. Ele modifica especificamente mensagens relacionadas a recusas de transação por fundos insuficientes, alterando a resposta de "recusar" para "aprovar", permitindo que as transações fraudulentas sejam processadas. A quantia aprovada varia entre 12.000 e 30.000 liras turcas (aproximadamente US$ 350 a US$ 875), autorizando o saque por "mulas" que operam em nome dos hackers.
Evasão e Evolução
No momento de sua descoberta, a variante Linux do FASTCash não tinha qualquer detecção em ferramentas de segurança no VirusTotal, tornando-a capaz de operar sem ser impedida pela maioria dos sistemas de defesa convencionais. Além disso, o HaxRob reportou que uma nova versão para Windows foi enviada ao VirusTotal em setembro de 2024, o que indica que os hackers continuam aprimorando suas ferramentas para manter a eficácia de suas operações cibernéticas.
Essa nova variante destaca a crescente sofisticação do FASTCash e a adaptação contínua do grupo APT38 para explorar sistemas financeiros em diversas plataformas, tornando o malware uma ameaça cada vez mais difícil de detectar e neutralizar.
Via - BC
Comments