Gli hacker nordcoreani stanno utilizzando una nuova variante Linux del malware FASTCash per infettare i sistemi di pagamento degli istituti finanziari ed eseguire prelievi di denaro non autorizzati. Le precedenti varianti di FASTCash avevano come obiettivo i sistemi Windows e IBM AIX (Unix). Tuttavia, un nuovo report del ricercatore di sicurezza HaxRob rivela una versione Linux precedentemente non rilevata che ha come obiettivo le distribuzioni Ubuntu 22.04 LTS.
La CISA ha lanciato l'allarme per la prima volta sullo schema di prelievo dai bancomat di FASTCash nel dicembre 2018. All’epoca aveva attribuito l'attività al gruppo di hacker nordcoreano sostenuto dallo stato noto come "Hidden Cobra". Secondo le indagini dell'agenzia, gli autori della minaccia hanno utilizzato FASTCash nelle operazioni almeno dal 2016, rubando decine di milioni di dollari per incidente in attacchi simultanei di prelievo ATM in 30 paesi o più. Nel 2020, l'U.S. Cyber Command ha evidenziato ancora una volta la minaccia, collegando la ripresa dell'attività FASTCash 2.0 ad APT38 (Lazarus). Un anno dopo, sono state annunciate accuse per tre nordcoreani presumibilmente coinvolti in questi schemi. Gli hacker sono infatti responsabili del furto di oltre 1,3 miliardi di dollari da istituti finanziari in tutto il mondo.
FASTCash: come funziona il malware che preleva denaro
La variante più recente individuata da HaxRob è stata inviata per la prima volta a VirusTotal a giugno 2023. Questa presenta ampie somiglianze operative con le precedenti varianti di Windows e AIX. Si presenta sotto forma di una libreria condivisa che viene iniettata in un processo in esecuzione su un server di commutazione dei pagamenti con l'aiuto della chiamata di sistema "ptrace", agganciandola alle funzioni di rete. Questi switch sono intermediari che gestiscono la comunicazione tra terminali ATM/PoS e i sistemi centrali della banca, instradando le richieste e le risposte delle transazioni. Il malware intercetta e manipola i messaggi di transazione ISO8583 utilizzati nel settore finanziario per l'elaborazione di carte di debito e di credito. In particolare, il malware prende di mira i messaggi che riguardano i rifiuti delle transazioni a causa di fondi insufficienti nel conto. Questo sostituisce la risposta "rifiuto" con "approvazione".
Il messaggio manipolato contiene anche una quantità casuale di denaro tra 12.000 e 30.000 lire turche (321 euro e 804 euro) per autorizzare la transazione. Una volta che il messaggio manipolato viene inviato ai sistemi centrali della banca contenente i codici di approvazione (DE38, DE39) e l'importo (DE54), la banca approva la transazione. Fatto ciò, un money mule che agisce per conto degli hacker preleva il denaro da un bancomat. Al momento della sua scoperta, la variante Linux di FASTCash non era stata rilevata su VirusTotal. Ciò significa che poteva eludere la maggior parte degli strumenti di sicurezza standard. HaxRob segnala inoltre che una nuova versione di Windows è stata inviata su VT a settembre 2024. Ciò indica che gli hacker stanno lavorando attivamente per far evolvere tutti i pezzi del loro set di strumenti.