
Un ricercatore di sicurezza informatica con alias HaxRob ha di recente scoperto una nuova variante del malware FASTCash che prende di mira i sistemi Linux nelle distribuzioni Ubuntu 22.04 e che opera in modo simile alle sue versioni precedenti che colpivano i sistemi IBM AIX e Windows.
Questo malware, attivo almeno dal 2016 e attribuito al gruppo ATP nordcoreano Lazarus (ovvero Hidden Cobra, Guardians of Peace), è progettato per intercettare e manipolare le transazioni con carta su switch di pagamento compromessi, facilitando prelievi di contante non autorizzati dagli sportelli automatici (ATM). Negli anni sembra abbia consentito di sottrarre milioni di dollari dagli sportelli bancomat di piccole e medie banche in Asia e Africa.
“Uno “Switch” è un sistema di routing intermedio per i messaggi di transazione della carta. Possono collegare più endpoint (terminali ATM/POS) agli host della banca o fornire un transito tra parti come reti interbancarie per svolgere compiti come il routing delle transazioni, la conversione di protocollo e la segnalazione/registrazione”. Spiega HaxRob.

Come funziona il malware
Secondo il ricercatore, una volta infiltrato nel sistema di pagamento, il malware intercetta le richieste di transazione dopo una strisciata magnetica che risultano rifiutate e le modifica per approvare prelievi fraudolenti. Questo permette agli attaccanti di ritirare grandi somme di denaro senza essere rilevati immediatamente. Il codice dannoso autorizzerebbe, secondo l’analisi, importi casuali in lire turche per conti specifici di titolari di carte.

Secondo lo schema di attacco descritto nel rapporto, il malware che si presenta sotto forma di una libreria, viene iniettato in un processo in esecuzione su un server di commutazione dei pagamenti utilizzando una chiamata di sistema “ptrace”, intercetta i messaggi di transazione ISO8583 relativi al rifiuto delle transazioni a causa di fondi insufficienti sul conto del titolare della carta e li sostituisce con messaggi di approvazione. Una volta che il messaggio contenente i codici di approvazione e l’importo viene rinviato ai sistemi centrali della banca, la transazione viene approvata e un incaricato che agisce per conto degli attaccanti preleva il denaro da uno sportello bancomat.
Implicazioni e misure di sicurezza
La scoperta di questa variante per Linux sottolinea l’importanza di una sicurezza informatica robusta e aggiornata. Le istituzioni finanziarie dovrebbero rivedere le misure di sicurezza nel processo delle transazioni e adottare misure preventive anche negli ambienti server Linux per rilevare in modo appropriato l’utilizzo della chiamata di sistema “ptrace“. HaxRob avverte inoltre che la scoperta recente di una nuova variante del malware per Windows indicherebbe una attività in continua evoluzione.