15 de octubre de 2024Ravie LakshmananFraude financiero/Linux Se ha observado que actores de amenazas norcoreanos utilizan una variante de Linux de una conocida familia de malware llamada FASTCash para robar fondos como parte de una campaña con motivación financiera. El malware está «instalado en conmutadores de pago dentro de redes comprometidas que manejan transacciones con tarjeta para facilitar el retiro no autorizado de efectivo de los cajeros automáticos», dijo un investigador de seguridad que se hace llamar HaxRob. FASTCash fue documentado por primera vez por el gobierno de EE. UU. en octubre de 2018 como utilizado por adversarios vinculados a Corea del Norte en relación con un esquema de retiro de efectivo en cajeros automáticos dirigido a bancos en África y Asia desde al menos finales de 2016. «Los esquemas de FASTCash comprometen de forma remota los servidores de aplicaciones de cambio de pago dentro de los bancos para facilitar transacciones fraudulentas», señalaron las agencias en ese momento. «En un incidente en 2017, los actores de HIDDEN COBRA permitieron retirar efectivo simultáneamente de cajeros automáticos ubicados en más de 30 países diferentes. En otro incidente en 2018, los actores de HIDDEN COBRA permitieron retirar efectivo simultáneamente de cajeros automáticos en 23 países diferentes». Si bien los artefactos FASTCash anteriores tienen sistemas que ejecutan Microsoft Windows (incluido uno detectado el mes pasado) e IBM AIX, los últimos hallazgos muestran que las muestras diseñadas para infiltrarse en sistemas Linux se enviaron por primera vez a la plataforma VirusTotal a mediados de junio de 2023. la forma de un objeto compartido («libMyFc.so») que está compilado para Ubuntu Linux 20.04. Está diseñado para interceptar y modificar mensajes de transacciones ISO 8583 utilizados para el procesamiento de tarjetas de débito y crédito con el fin de iniciar retiros de fondos no autorizados. Específicamente, implica manipular mensajes de transacciones rechazadas (deslizamiento magnético) debido a fondos insuficientes para una lista predefinida de números de cuenta de titulares de tarjetas y aprobarles para retirar una cantidad aleatoria de fondos en liras turcas. Los fondos retirados por transacción fraudulenta oscilan entre 12.000 y 30.000 liras (entre 350 y 875 dólares), reflejando un artefacto FASTCash de Windows («switch.dll») detallado previamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en septiembre de 2020. «[The] El descubrimiento de la variante de Linux enfatiza aún más la necesidad de capacidades de detección adecuadas que a menudo faltan en los entornos de servidores Linux», dijo el investigador. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.