Los piratas informáticos atacan cada vez más los cajeros automáticos mediante diversos métodos ilegales. Explotan vulnerabilidades físicas y de software para obligar a las máquinas a pagar en efectivo.
El aumento de herramientas de piratería accesibles en la web oscura ha facilitado que incluso los atacantes novatos lleven a cabo estos ataques.
HaxRob (@haxrob) de DoubleAgent descubrió recientemente una nueva variante de malware para Linux llamada “FASTCash”. Se trata de un “malware de cambio de pagos” que se dirige específicamente a los cajeros automáticos basados en el sistema operativo Linux para robar dinero.
Los investigadores creen que este grupo está afiliado a varios otros grupos de hackers, incluidos Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff y Stardust Chollima.
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
análisis técnico
FASTCash es un malware diseñado para comprometer los conmutadores de pagos en redes financieras y se cree que es obra de actores norcoreanos.
Se ha observado que el malware ahora se dirige a sistemas Linux además de las versiones conocidas anteriormente de IBM AIX y Windows.
La muestra de Linux compilada para Ubuntu 20.04 intercepta mensajes de transacciones ISO8583 y apunta específicamente a transacciones de deslizamiento magnético rechazadas (identificadas por el modo de entrada de punto de servicio DE22) para un número de cuenta determinado.
Luego aprobamos estas transacciones con un monto aleatorio en lira turca (código de moneda DE49 TRY).
El malware “se centra en indicadores de tipos de mensajes específicos” como “eliminación de campos relacionados con PIN” (“DE52” y “DE53”) y “100/110” y “200” para consultas de saldo (“MTI”). otros elementos de datos transaccionales. /210” es para transacciones financieras.
Espera que el mensaje incluya un “prefijo de longitud de 2 bytes” y un “encabezado de unidad de datos de protocolo de transacción (TPDU) de 5 bytes”, lo que sugiere que está dirigido a “una infraestructura de pago específica”.
Flujo de ataque (Fuente – DoubleAgent)
Aunque esta variante de Linux es ligeramente menos “rica en funciones” que su contraparte de Windows, todavía es vulnerable a varias vulnerabilidades del sistema operativo dentro del ecosistema financiero, particularmente donde se pueden eludir las comprobaciones de integridad de los mensajes. Esto demuestra que las tácticas de los atacantes están evolucionando al explotar.
El informe de CISA sobre el malware FASTCASH para Linux revela ataques sofisticados contra redes de cajeros automáticos. Este malware manipula “mensajes de transacciones financieras ISO8583” y apunta específicamente a “respuestas de autenticación”.
'Cantidad ilegal en liras turcas' (12 000 a 30 000 TRY) utilizando el 'Código de moneda ISO4217 949' en el campo DE54 (Cantidad adicional) y el valor personalizado '0387T' en el mensaje 'DE48' (Datos adicionales, privado). .
El malware busca transacciones con banda magnética (DE22) y códigos de transacción específicos (DE3) para “consulta de saldo” y “retiro”.
Tiene similitudes con la variante de Windows, pero carece de algunas funciones como la “comprobación de IP”.
El malware está escrito en C++ y compilado con GCC 11.3.0 en Ubuntu 22.04. Usamos “ptrace'' para “inyección de proceso'' y “subhooks'' para interceptar la “función recv''.
El malware descifra el archivo de configuración ('/tmp/info.dat') que contiene 'Target PAN' utilizando el 'cifrado AES128 CBC'.
Utiliza la 'biblioteca Oscar-ISO8583' para interceptar 'paquetes de red' analizando 'mensajes ISO8583' y los cambia a 'aprobación de transacción' y 'aumento de saldo'.
Señales de compromiso
hash SHA-256
FAST Cash para Linux
f34b532117b3431387f11e3d92dc9ff417ec5dcee38a0175d39e323e5fdb1d2c
7f3d046b2c5d8c008164408a24cac7e820467ff0dd9764e1d6ac4e70623a1071(UPX)
Fast Cash para Windows
aff4d4deb46a01716a4a3eb7f80da58e027075178b9aa438e12ea24eedea4b0 f43d4e7e2ab1054d46e2a93ce37d03aff3a85e0dff2dd7677f4f7fb9abe1abc8 5232d942da0a 86ff4a7ff29a9affbb5bd531a5393aa5b81b61fe3044c72c1c00 2611f784e3e7f4cf16240a112c74b5bcd1a04067eff722390f5560ae95d86361 c3904f5e36d7f45d 99 276c53fed5e4dde849981c2619eaa4dbbac66a38181cbe 609a5b9c98ec40f93567fbc298d4c3b2f9114808dfbe42eb4939f0c5d1d63d44 078f284536420db102 475dc6 50327a6fd46ec0ac068fe07f2e2f925a924db49(RAR)
Previamente identificado/atribuido (2018 a 2020)
( AIX)
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
