Kuzey Koreli bilgisayar korsanları, finansal kurumların ödeme anahtar sistemlerini enfekte etmek ve yetkisiz nakit para çekme işlemleri yapmak için FastCash kötü amaçlı yazılımlarının yeni bir Linux varyantı kullanıyor.
FastCash hedefli Windows ve IBM AIX (UNIX) sistemlerinin önceki varyantları, ancak güvenlik araştırmacısı Haxrob tarafından yeni bir rapor, Ubuntu 22.04 LTS dağıtımlarını hedefleyen daha önce tespit edilmemiş bir Linux sürümünü ortaya koyuyor.
CISA ilk olarak Aralık 2018'de FastCash ATM nakit çıkış planı hakkında uyardı ve etkinliği 'Gizli Cobra' olarak bilinen devlet destekli Kuzey Kore hackleme grubuna bağladı.
Ajansın soruşturmalarına göre, tehdit aktörleri en az 2016'dan beri operasyonlarda FastCash kullanıyor ve 30 veya daha fazla ülkede eşzamanlı ATM geri çekilme saldırılarında olay başına on milyonlarca dolar çalıyor.
2020'de, ABD Siber Komutanlığı tehdidi bir kez daha vurguladı ve canlanan FastCash 2.0 etkinliğini APT38'e (Lazarus) bağladı.
Bir yıl sonra, dünya çapında finans enstitülerinden 1,3 milyar doların üzerinde hırsızlıktan sorumlu olan bu planlara katıldığı iddia edilen üç Kuzey Koreli için iddianameler açıklandı.
Haxrob tarafından tespit edilen en yeni varyant ilk olarak Haziran 2023'te Virustotal'a gönderildi ve önceki Windows ve AIX varyantlarına kapsamlı operasyonel benzerlikler sunuyor.
'PTRACE' sistem çağrısının yardımıyla bir ödeme anahtarı sunucusunda bir çalışma işlemine enjekte edilen ve ağ işlevlerine bağlayan paylaşılan bir kitaplık şeklinde gelir.
Bu anahtarlar, ATMS/POS terminalleri ile bankanın merkezi sistemleri, yönlendirme işlem talepleri ve yanıtlar arasındaki iletişimi ele alan aracılardır.
Kötü amaçlı yazılım, finansal sektörde banka ve kredi kartı işleme için kullanılan ISO8583 işlem mesajlarını keser ve manipüle eder.
Özellikle, kötü amaçlı yazılım, kart sahibinin hesabındaki yetersiz fonlar nedeniyle işlemlerin düşüşlerini ilgilendiren mesajları hedefler ve "düşüş" yanıtı "onay" ile değiştirir.
Manipüle edilen mesaj ayrıca talep edilen işlemi yetkilendirmek için 12.000 ila 30.000 Türk Lira (350 $ - 875 $) arasında rastgele bir miktar para içeriyor.
Manipüle edilmiş mesaj, bankanın onay kodlarını (DE38, DE39) ve tutarı (DE54) içeren merkezi sistemlerine geri gönderildikten sonra, banka işlemi onaylar ve bilgisayar korsanları adına hareket eden bir para katır bir ATM'den nakit çeker .
Keşfi itibariyle, FastCash'ın Linux varyantının Virustotal üzerinde herhangi bir tespiti yoktu, yani çoğu standart güvenlik araçından kaçabilir ve tehdit aktörlerinin yoksul işlemleri gerçekleştirmesine izin verdi.
Haxrob ayrıca, Eylül 2024'te VT'de yeni bir Windows sürümünün gönderildiğini bildirerek, bilgisayar korsanlarının araç setlerinin tüm parçalarını geliştirmek için aktif olarak çalıştığını gösteriyor.
Linux kötü amaçlı yazılım “perfctl” yıllarca süren kriptominasyon kampanyasının arkasında
Yeni Linux Kötü Yazılım Hadooken Hedefleri Oracle WebLogic Sunucular
Gizli 'Sedexp' Linux kötü amaçlı yazılımdan kaçınmış tespit iki yıldır
Yeni Ngate Android kötü amaçlı yazılım, kredi kartı verilerini çalmak için NFC çipini kullanır
Google Play'de 200'den fazla kötü amaçlı uygulama milyonlarca kez indirildi
Kaynak: Bleeping Computer