El malware reside en la parte del espacio de usuario del conmutador interbancario que conecta los dominios de emisión y adquisición. Cuando una tarjeta comprometida se utiliza para una conversión fraudulenta, FASTCash altera el mensaje que el conmutador recibe del emisor antes de transmitirlo al banco mercantil. Como resultado, el mensaje del emisor que rechaza la transacción se cambia a una aprobación.
El siguiente diagrama muestra cómo funciona FASTCash.
El conmutador de destino seleccionado ejecuta una implementación mal configurada de ISO 8583, un estándar de mensajería para transacciones financieras. La mala configuración hará que los mecanismos de autenticación de mensajes, como los utilizados en el campo 64, fallen según lo definido en la especificación. Como resultado, los mensajes manipulados creados por FASTCash no se detectan como maliciosos.
“El malware FASTCash se dirige a sistemas que envían mensajes ISO8583 a hosts intermediarios específicos. Estos sistemas carecen de mecanismos de seguridad para garantizar la integridad de los mensajes y, por lo tanto, son susceptibles de manipulación”, escribe haxrob. “Si se protege la integridad del mensaje, campos como DE64 pueden contener un MAC (código de autenticación de mensaje). El estándar no define un algoritmo, por lo que el algoritmo MAC es específico de la implementación”.
Los investigadores explicaron además:
El malware FASTCash modifica los mensajes de transacciones en puntos de la red donde la manipulación no hace que los sistemas ascendentes o descendentes rechacen el mensaje. Las posibles ubicaciones para la interceptación incluyen donde los mensajes ATM/PoS se convierten de un formato a otro (por ejemplo, en la interfaz entre protocolos propietarios y mensajes ISO8583 en otros formatos), o donde otros si se realizan cambios. Un proceso que se ejecuta dentro de un conmutador.
CISA dijo que BeagleBoyz, uno de los nombres que los hackers norcoreanos están siendo rastreados, es parte de HiddenCobra, un grupo respaldado por el gobierno del país. Desde 2015, los Beagle Boys han intentado robar casi 2 mil millones de dólares. Según CISA, el grupo malicioso “manipuló, y en ocasiones dejó inoperables, sistemas informáticos críticos en bancos y otras instituciones financieras”.
El informe haxrob proporciona hashes criptográficos para rastrear dos muestras recién descubiertas de la versión de Linux y hashes de varias muestras recién descubiertas de FASTCash para Windows.
https://packetstormsecurity.com/news/view/36477/North-Korean-Hackers-Use-Newly-Discovered-Linux-Malware-To-Raid-ATMs.html
