Variante del malware FASTCash per Linux: Una minaccia in evoluzione

Un ricercatore di sicurezza informatica con alias HaxRob ha di recente scoperto una nuova variante del malware FASTCash che prende di mira i sistemi Linux nelle distribuzioni Ubuntu 22.04 e che opera in modo simile alle sue versioni precedenti che colpivano i sistemi IBM AIX e Windows.

Questo malware, attivo almeno dal 2016 e attribuito al gruppo ATP nordcoreano Lazarus (ovvero Hidden Cobra, Guardians of Peace), è progettato per intercettare e manipolare le transazioni con carta su switch di pagamento compromessi, facilitando prelievi di contante non autorizzati dagli sportelli automatici (ATM). Negli anni sembra abbia consentito di sottrarre milioni di dollari dagli sportelli bancomat di piccole e medie banche in Asia e Africa.

Uno “Switch” è un sistema di routing intermedio per i messaggi di transazione della carta. Possono collegare più endpoint (terminali ATM/POS) agli host della banca o fornire un transito tra parti come reti interbancarie per svolgere compiti come il routing delle transazioni, la conversione di protocollo e la segnalazione/registrazione”. Spiega HaxRob.

Fonte HaxRob

Come funziona il malware

Secondo il ricercatore, una volta infiltrato nel sistema di pagamento, il malware intercetta le richieste di transazione dopo una strisciata magnetica che risultano rifiutate e le modifica per approvare prelievi fraudolenti. Questo permette agli attaccanti di ritirare grandi somme di denaro senza essere rilevati immediatamente. Il codice dannoso autorizzerebbe, secondo l’analisi, importi casuali in lire turche per conti specifici di titolari di carte.

Fonte HaxRob

Secondo lo schema di attacco descritto nel rapporto, il malware che si presenta sotto forma di una libreria, viene iniettato in un processo in esecuzione su un server di commutazione dei pagamenti utilizzando una chiamata di sistema “ptrace”, intercetta i messaggi di transazione ISO8583 relativi al rifiuto delle transazioni a causa di fondi insufficienti sul conto del titolare della carta e li sostituisce con messaggi di approvazione. Una volta che il messaggio contenente i codici di approvazione e l’importo viene rinviato ai sistemi centrali della banca, la transazione viene approvata e un incaricato che agisce per conto degli attaccanti preleva il denaro da uno sportello bancomat.

Implicazioni e misure di sicurezza

La scoperta di questa variante per Linux sottolinea l’importanza di una sicurezza informatica robusta e aggiornata. Le istituzioni finanziarie dovrebbero rivedere le misure di sicurezza nel processo delle transazioni e adottare misure preventive anche negli ambienti server Linux per rilevare in modo appropriato l’utilizzo della chiamata di sistema “ptrace“. HaxRob avverte inoltre che la scoperta recente di una nuova variante del malware per Windows indicherebbe una attività in continua evoluzione.

Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.