Sumário Executivo
Hackers norte-coreanos têm utilizado uma nova variante do malware FASTCash, agora desenvolvida para sistemas Linux, que facilita saques ilícitos em caixas eletrônicos (ATMs). Esta versão, que expande o alcance do malware além de sistemas Windows e AIX, explora vulnerabilidades em switches de pagamento utilizados por instituições financeiras, comprometendo transações de cartão de crédito e débito.
1. Introdução à Ameaça
O malware FASTCash é atribuído a grupos hackers da Coreia do Norte, particularmente ao grupo HIDDEN COBRA, e tem como alvo sistemas financeiros. Ele é utilizado para comprometer switches de pagamento, que processam transações de cartão de crédito e débito, permitindo saques fraudulentos em ATMs.
A variante Linux do FASTCash foi identificada pela primeira vez em 2023, ampliando o escopo dos sistemas vulneráveis, que já incluíam IBM AIX e Windows. Esta nova variante foi compilada para a distribuição Ubuntu Linux 20.04 e, embora tenha funcionalidades ligeiramente reduzidas em comparação com a versão Windows, continua extremamente perigosa. 2. Funcionamento do Malware
O FASTCash opera comprometendo switches de pagamento responsáveis por intermediar transações financeiras entre adquirentes, emissores e redes de cartões (como Visa e Mastercard). O malware intercepta e altera mensagens ISO8583, que são utilizadas para troca de informações financeiras durante transações de cartões, como saques e compras.
Processo de Infecção:
O malware se instala em switches de pagamento, manipulando mensagens de transação que passam por esses dispositivos.
Ele autoriza saques e transações fraudulentas para uma lista predefinida de números de conta, enganando os sistemas bancários para que aprovem transações que, normalmente, seriam rejeitadas.
A variante Linux, em particular, é capaz de interceptar mensagens de transações recusadas e modificá-las para que sejam aceitas, possibilitando saques em grande escala em ATMs comprometidos.
O malware se aproveita da ausência ou falta de validação de códigos de autenticação em mensagens financeiras, como o MAC (Message Authentication Code). Em muitos sistemas, essas mensagens são manipuladas em pontos vulneráveis da rede, onde não há verificação completa da integridade. 3. Repercussões e Grupos Atribuídos
Esta nova variante foi associada ao grupo de hackers norte-coreanos Lazarus e suas subunidades, como APT38, BlueNoroff e BeagleBoyz, que já possuem histórico de ataques contra instituições financeiras. Esses grupos são conhecidos por realizar operações cibernéticas com fins financeiros, financiando o regime norte-coreano através de saques fraudulentos em ATMs ao redor do mundo.
A CISA (Cybersecurity and Infrastructure Security Agency) identificou as amostras do FASTCash para Windows e Linux, confirmando que ambas têm como alvo infraestruturas de pagamento similares. Além disso, a agência destacou a sofisticação desses ataques e o uso de redes financeiras internacionais para expandir suas operações. 4. Recomendações de Mitigação
Para mitigar os impactos da nova variante do FASTCash, é recomendada a adoção das seguintes medidas:
Manter o Software Atualizado:
Certifique-se de que os sistemas operacionais e software de processamento de pagamento estejam sempre atualizados com os patches de segurança mais recentes.
Implementar Ferramentas de Detecção:
Utilize ferramentas especializadas de detecção de malwares em ambientes Linux, além de antivírus e sistemas de segurança específicos para identificar e bloquear ameaças.
Configuração Robusta de Firewall:
Implemente firewalls adequados e bem configurados para monitorar e bloquear tráfego malicioso que possa comprometer sistemas de pagamento.
Limitação de Privilégios de Usuário:
Restrinja o acesso a sistemas críticos apenas a usuários que necessitam, minimizando o risco de execução de malwares ou acesso não autorizado a informações financeiras sensíveis.
Autenticação Multifator (MFA):
Adicione camadas adicionais de segurança, como autenticação multifator, para reforçar a proteção dos sistemas e dificultar acessos não autorizados.
Desativação de Serviços Não Necessários:
Desative serviços e compartilhamentos desnecessários para reduzir a superfície de ataque e potencial de exploração por malwares.
Backups Frequentes:
Realize backups regulares dos dados críticos e mantenha cópias isoladas da rede principal para garantir a recuperação em caso de ataques.
5. Indicadores de Comprometimento (IoC)
Os pesquisadores identificaram diversos indicadores de comprometimento relacionados ao FASTCash, que podem ser usados para configurar sistemas de monitoramento e alerta em redes financeiras:
MD5: d1bb81f507a697548e1acbce814904de
SHA1: 9f487df6c84dd794bafa3fa4173888e07af3fb60
SHA256: f34b532117b3431387f11e3d92dc9ff417ec5dcee38a0175d39e323e5fdb1d2c
Nome do arquivo: libMyFc.so
Esses indicadores permitem que equipes de segurança detectem e respondam rapidamente a tentativas de infecção.
6. Conclusão
A nova variante do malware FASTCash, adaptada para sistemas Linux, representa uma ameaça significativa às instituições financeiras, especialmente por sua capacidade de comprometer switches de pagamento e autorizar transações fraudulentas. A sofisticação dessa nova versão reforça a necessidade de medidas de segurança robustas, como a atualização constante de software, o uso de ferramentas de detecção de malwares e a implementação de firewalls bem configurados.
As instituições financeiras devem continuar vigilantes e adotar práticas de segurança cibernética rigorosas para mitigar os riscos representados por esse malware altamente adaptável. 7. Referências https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/ https://doubleagent.net/fastcash-for-linux/
Comments