FASTCash нацелен на банкоматы с платёжеными шлюзами Linux
15/10/24
Исследователи с ресурса doubleagent в последние месяцы фиксируют активность новой версии вредоносного программного обеспечения FASTCash. Она направлена на операционные системы Linux и связана с хакерскими группировками из Северной Кореи.
Вредонос нацелен на взлом финансовых сетей для незаконного снятия денег с банкоматов. FASTCash перехватывает и изменяет данные транзакций, обрабатываемых на платёжных шлюзах, что позволяет одобрять ложные запросы на снятие средств, пишет Securitylab.
Ранее известные версии FASTCash поражали системы на базе IBM AIX и Windows. Однако новая Linux-вариация, как выяснили исследователи, предназначена для работы на Ubuntu 20.04. Вредоносная программа может перехватывать сообщения об отказанных транзакциях и одобрять их, добавляя случайные суммы на карту в турецких лирах.
Исследования показали, что Linux-вариант имеет схожие механизмы работы с предыдущими версиями для Windows, но с некоторыми отличиями. Основное назначение программы — манипуляция сообщениями ISO8583, которые используются для обработки транзакций. Как и Windows-вариант, она работает с валютой Турции и использует уникальные поля для фальсификации данных транзакций.
Примечательно, что вредоносное ПО использует уязвимости в платёжных шлюзах, где отсутствуют механизмы проверки целостности сообщений. Это позволяет FASTCash вносить изменения, оставаясь незамеченным. Вредоносная программа создаёт ложные одобренные ответы на запросы о недостаточных средствах, подставляя произвольные суммы.
Исследователи также отметили, что в коде Linux-версии есть признаки использования виртуальной машины VMware для разработки. Вредоносная программа может быть внедрена в работающий процесс с помощью системного вызова ptrace, что делает её трудной для обнаружения без соответствующих настроек систем защиты на серверах Linux.