Il malware FASTCash, collegato a gruppi nord-coreani, ha fatto il suo ritorno con una nuova variante progettata per i sistemi Linux. Questo software dannoso viene installato su switch di pagamento all’interno di reti compromesse, permettendo agli attaccanti di eseguire prelievi di denaro non autorizzati dagli sportelli automatici (ATM).
Scoperto nel 2019, FASTCash colpiva esclusivamente i sistemi IBM AIX e Windows, ma la nuova variante Linux è stata individuata nel giugno 2023 dal ricercatore di sicurezza haxrob, anche se la scoperta è stata resa pubblica solo ora. Sia la variante Linux che quella Windows colpiscono la stessa infrastruttura di pagamento o infrastrutture simili nello stesso Paese.
Secondo haxrob, la versione Linux presenta funzionalità ridotte rispetto alla controparte Windows, ma mantiene una capacità chiave: intercettare i messaggi di transazioni rifiutate (a strisciata magnetica) per un elenco predefinito di numeri di conto dei titolari di carte e autorizzare la transazione utilizzando un importo casuale di fondi in Lire turche.
FASTCash è implementato sotto forma di una libreria condivisa, iniettata in un processo in esecuzione sullo switch Linux di pagamento, che funge da intermediario tra il sistema bancario centrale e lo sportello automatico. L’obiettivo è intercettare i pacchetti di dati originati dalle transazioni, in particolare quelli che segnalano il rifiuto di un pagamento per mancanza di fondi, sostituendoli con un messaggio di approvazione.
Questo attacco consente agli hacker di prelevare con successo somme di denaro dallo sportello che variano tipicamente tra 12.000 e 30.000 lire turche.
Il ricercatore ha sottolineato che, al momento della scoperta della variante Linux, non erano presenti avvisi del malware su VirusTotal, evidenziando la necessità di capacità adeguate per rilevare minacce negli ambienti Linux.
Per prevenire attacchi simili, la CISA (Cybersecurity and Infrastructure Security Agency) ha contestualmente fornito misure preventive come l’implementazione di requisiti chip e PIN per le carte di debito, la verifica dei codici di autenticazione dei titolari di carta e l’utilizzo di crittogrammi per confermare le autorizzazioni delle transazioni.
