Malware de Linux FASTCash

Los actores de amenazas norcoreanos han desarrollado una variante de Linux previamente desconocida del malware FASTCash, que están implementando para comprometer los sistemas de transferencia de pagos de las instituciones financieras, facilitando retiros de efectivo ilícitos.

Se sabía que las versiones anteriores de FASTCash atacaban a sistemas Windows e IBM AIX (Unix). Sin embargo, según un informe reciente del investigador de seguridad HaxRob, una variante de Linux recién descubierta ataca ahora a distribuciones Ubuntu 22.04 LTS, lo que marca la primera detección de esta versión.

El malware FASTCash ha estado atacando a los cajeros automáticos durante años

En diciembre de 2018, la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) emitió su primera advertencia sobre el esquema de retiro de efectivo de cajeros automáticos FASTCash, atribuyendo la actividad al grupo de piratas informáticos patrocinado por el estado de Corea del Norte llamado "Hidden Cobra". Las investigaciones de la agencia revelaron que los atacantes habían estado usando FASTCash desde al menos 2016, orquestando ataques simultáneos de retiro de efectivo de cajeros automáticos en más de 30 países, robando decenas de millones de dólares por operación.

En 2020, el Comando Cibernético de Estados Unidos volvió a dar la voz de alarma al vincular la actividad renovada de FASTCash 2.0 con APT38 (Lazarus). En 2021, se anunciaron las acusaciones contra tres individuos norcoreanos acusados de robar más de 1.300 millones de dólares a instituciones financieras a nivel mundial.

Una nueva variante detectada por los investigadores

La última variante de FASTCash, descubierta en junio de 2023, comparte muchas características operativas con sus predecesoras dirigidas a sistemas Windows y AIX. Esta versión aparece como una biblioteca compartida que se inyecta en un proceso en ejecución en un servidor de conmutación de pagos, utilizando la llamada al sistema "ptrace" para conectarse a las funciones de red.

Los conmutadores de pago actúan como intermediarios, facilitando la comunicación entre los cajeros automáticos o terminales PoS y los sistemas centrales de un banco mediante el enrutamiento de solicitudes y respuestas de transacciones. El malware explota estos conmutadores interceptando y manipulando mensajes de transacciones ISO8583, que son esenciales para el procesamiento de tarjetas de débito y crédito en la industria financiera.

El malware ataca específicamente a los mensajes que normalmente rechazarían transacciones debido a fondos insuficientes en la cuenta del titular de la tarjeta. Modifica estos mensajes, reemplazando la respuesta "rechazar" por una respuesta "aprobar".

Además, los mensajes alterados autorizan una retirada aleatoria de un importe comprendido entre 12.000 y 30.000 liras turcas (350-875 dólares). Una vez que el mensaje manipulado se envía de vuelta a los sistemas centrales del banco, incluidos los códigos de aprobación (DE38, DE39) y el importe autorizado (DE54), el banco aprueba la transacción. Una mula de dinero que trabaja en nombre de los atacantes retira entonces el dinero de un cajero automático.

Desde su descubrimiento, se cree que esta variante de Linux elude la mayoría de las herramientas de seguridad estándar, lo que permite a los atacantes realizar transacciones fraudulentas sin ser detectados. Los expertos en ciberseguridad también han encontrado indicios que sugieren que los piratas informáticos están perfeccionando continuamente su conjunto de herramientas, con evidencia de que una nueva versión de FASTCash para Windows surgirá en septiembre de 2024.