据观察,朝鲜威胁组织使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金,作为以财务为动机的活动的一部分。
一位自称 HaxRob 的安全研究员表示,这种恶意软件“安装在受感染网络内处理卡交易的支付交换机上,以便从 ATM 机上进行未经授权的现金提取” 。
2018 年 10 月,美国政府首次记录了FASTCash ,它被与朝鲜有关的对手用来实施自 2016 年底以来针对非洲和亚洲银行的 ATM 取款计划。
该机构当时指出:“FASTCash 计划远程入侵银行内部的支付交换应用服务器,以促进欺诈交易。”
“在 2017 年发生的一起事件中,HIDDEN COBRA 攻击者能够同时从位于 30 多个不同国家的 ATM 机上提取现金。在 2018 年发生的另一起事件中,HIDDEN COBRA 攻击者能够同时从位于 23 个不同国家的 ATM 机上提取现金。”
虽然之前的 FASTCash 工件具有运行 Microsoft Windows 的系统(包括上个月发现的一个)和 IBM AIX,但最新发现表明,用于渗透 Linux 系统的样本于 2023 年 6 月中旬首次提交给 VirusTotal 平台。
该恶意软件采用为 Ubuntu Linux 20.04 编译的共享对象(“libMyFc.so”)的形式。它旨在拦截和修改用于借记卡和信用卡处理的ISO 8583交易消息,以启动未经授权的资金提取。
具体来说,它需要操纵由于预定义的持卡人账户列表的资金不足而导致的拒绝(磁条刷卡)交易信息,并批准他们以土耳其里拉提取随机数的资金。
每笔欺诈交易提取的资金从 12,000 到 30,000 里拉(350 到 875 美元)不等,与美国网络安全和基础设施安全局 (CISA) 于 2020 年 9 月详细介绍的Windows FASTCash 工件(“switch.dll”)相似。
研究人员表示:“Linux 变种的发现进一步强调了对充足检测能力的需求,而 Linux 服务器环境中往往缺乏这种能力。”
技术报告:https://doubleagent.net/fastcash-for-linux/
新闻链接:
https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html