top of page
Foto do escritorDiego Arantes

Nova Variante do Malware FASTCash Facilita Saques Ilegais em Caixas Eletrônicos

Sumário Executivo

Hackers norte-coreanos têm utilizado uma nova variante do malware FASTCash, agora desenvolvida para sistemas Linux, que facilita saques ilícitos em caixas eletrônicos (ATMs). Esta versão, que expande o alcance do malware além de sistemas Windows e AIX, explora vulnerabilidades em switches de pagamento utilizados por instituições financeiras, comprometendo transações de cartão de crédito e débito.

1. Introdução à Ameaça

O malware FASTCash é atribuído a grupos hackers da Coreia do Norte, particularmente ao grupo HIDDEN COBRA, e tem como alvo sistemas financeiros. Ele é utilizado para comprometer switches de pagamento, que processam transações de cartão de crédito e débito, permitindo saques fraudulentos em ATMs.

A variante Linux do FASTCash foi identificada pela primeira vez em 2023, ampliando o escopo dos sistemas vulneráveis, que já incluíam IBM AIX e Windows. Esta nova variante foi compilada para a distribuição Ubuntu Linux 20.04 e, embora tenha funcionalidades ligeiramente reduzidas em comparação com a versão Windows, continua extremamente perigosa. 2. Funcionamento do Malware

O FASTCash opera comprometendo switches de pagamento responsáveis por intermediar transações financeiras entre adquirentes, emissores e redes de cartões (como Visa e Mastercard). O malware intercepta e altera mensagens ISO8583, que são utilizadas para troca de informações financeiras durante transações de cartões, como saques e compras.

Processo de Infecção:

  1. O malware se instala em switches de pagamento, manipulando mensagens de transação que passam por esses dispositivos.

  2. Ele autoriza saques e transações fraudulentas para uma lista predefinida de números de conta, enganando os sistemas bancários para que aprovem transações que, normalmente, seriam rejeitadas.

  3. A variante Linux, em particular, é capaz de interceptar mensagens de transações recusadas e modificá-las para que sejam aceitas, possibilitando saques em grande escala em ATMs comprometidos.

O malware se aproveita da ausência ou falta de validação de códigos de autenticação em mensagens financeiras, como o MAC (Message Authentication Code). Em muitos sistemas, essas mensagens são manipuladas em pontos vulneráveis da rede, onde não há verificação completa da integridade. 3. Repercussões e Grupos Atribuídos

Esta nova variante foi associada ao grupo de hackers norte-coreanos Lazarus e suas subunidades, como APT38, BlueNoroff e BeagleBoyz, que já possuem histórico de ataques contra instituições financeiras. Esses grupos são conhecidos por realizar operações cibernéticas com fins financeiros, financiando o regime norte-coreano através de saques fraudulentos em ATMs ao redor do mundo.

A CISA (Cybersecurity and Infrastructure Security Agency) identificou as amostras do FASTCash para Windows e Linux, confirmando que ambas têm como alvo infraestruturas de pagamento similares. Além disso, a agência destacou a sofisticação desses ataques e o uso de redes financeiras internacionais para expandir suas operações. 4. Recomendações de Mitigação

Para mitigar os impactos da nova variante do FASTCash, é recomendada a adoção das seguintes medidas:

  1. Manter o Software Atualizado:

    • Certifique-se de que os sistemas operacionais e software de processamento de pagamento estejam sempre atualizados com os patches de segurança mais recentes.

  2. Implementar Ferramentas de Detecção:

    • Utilize ferramentas especializadas de detecção de malwares em ambientes Linux, além de antivírus e sistemas de segurança específicos para identificar e bloquear ameaças.

  3. Configuração Robusta de Firewall:

    • Implemente firewalls adequados e bem configurados para monitorar e bloquear tráfego malicioso que possa comprometer sistemas de pagamento.

  4. Limitação de Privilégios de Usuário:

    • Restrinja o acesso a sistemas críticos apenas a usuários que necessitam, minimizando o risco de execução de malwares ou acesso não autorizado a informações financeiras sensíveis.

  5. Autenticação Multifator (MFA):

    • Adicione camadas adicionais de segurança, como autenticação multifator, para reforçar a proteção dos sistemas e dificultar acessos não autorizados.

  6. Desativação de Serviços Não Necessários:

    • Desative serviços e compartilhamentos desnecessários para reduzir a superfície de ataque e potencial de exploração por malwares.

  7. Backups Frequentes:

    • Realize backups regulares dos dados críticos e mantenha cópias isoladas da rede principal para garantir a recuperação em caso de ataques.


5. Indicadores de Comprometimento (IoC)

Os pesquisadores identificaram diversos indicadores de comprometimento relacionados ao FASTCash, que podem ser usados para configurar sistemas de monitoramento e alerta em redes financeiras:

  • MD5: d1bb81f507a697548e1acbce814904de

  • SHA1: 9f487df6c84dd794bafa3fa4173888e07af3fb60

  • SHA256: f34b532117b3431387f11e3d92dc9ff417ec5dcee38a0175d39e323e5fdb1d2c

  • Nome do arquivo: libMyFc.so

Esses indicadores permitem que equipes de segurança detectem e respondam rapidamente a tentativas de infecção.

6. Conclusão

A nova variante do malware FASTCash, adaptada para sistemas Linux, representa uma ameaça significativa às instituições financeiras, especialmente por sua capacidade de comprometer switches de pagamento e autorizar transações fraudulentas. A sofisticação dessa nova versão reforça a necessidade de medidas de segurança robustas, como a atualização constante de software, o uso de ferramentas de detecção de malwares e a implementação de firewalls bem configurados.

As instituições financeiras devem continuar vigilantes e adotar práticas de segurança cibernética rigorosas para mitigar os riscos representados por esse malware altamente adaptável. 7. Referências https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/ https://doubleagent.net/fastcash-for-linux/

0 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page