Cybercriminali nordcoreani hanno usato una variante Linux di FASTCash per compromettere le infrastrutture bancarie ed effettuare prelievi di denaro non autorizzati dagli ATM. Il malware, scoperto nel 2018, infetta gli switch usati per gestire le transazioni, alterando i messaggi scambiati tra gli istituti di credito.
FastCash: come funziona
La variante originale, utilizzata dal gruppo nordcoreano Hidden Cobra, infetta gli switch basati su AIX, un sistema operativo Unix di IBM. Due anni dopo è stata individuata la variante Windows usata dal gruppo nordcoreano BeagleBoyz, più noto come Lazarus.
Nel fine settimana, un ricercatore ha scoperto la variante Linux. Le funzionalità sono simili a quelle della variante Windows. L’obiettivo è intercettare i messaggi scambiati tra la banca dell’utente che usa una carta di credito/debito e la banca dell’utente che riceve il pagamento.
FASTCash viene installato sui cosiddetti payment switch. Si tratta di server che effettuano il routing dei messaggi associati alle transazioni. A causa dell’errata implementazione dello standard ISO8583, i messaggi non vengono autenticati e possono essere modificati.
Quando un utente effettua un prelievo, la banca verifica se ci sono i fondi necessari sul conto. FASTCash cambia il messaggio da “negata” ad “approvata”, la banca quindi autorizza la transazione e un membro del gruppo preleva il denaro dall’ATM. Tutti i dettagli tecnici sono disponibili sul sito del ricercatore.
Al momento della scoperta, nessuna soluzione di sicurezza rilevava il malware. Ora viene rilevato da 29 antivirus, come si può vedere su VirusTotal. Una nuova variante Windows è stata rilevata a settembre, quindi i cybercriminali continuano ad aggiornare FASTCash.