Il malware noto come FASTCash, utilizzato da attori malevoli nordcoreani per rubare fondi, ha ora una nuova variante progettata per sistemi operativi Linux. Questo malware viene installato su switch di pagamento all'interno di reti compromesse che gestiscono transazioni con carte, facilitando prelievi non autorizzati da sportelli automatici. La sua prima documentazione risale all'ottobre 2018, quando il governo degli Stati Uniti rivelò l'uso di FASTCash da parte di gruppi legati alla Corea del Nord in una serie di attacchi mirati a banche in Africa e Asia fin dal 2016.

Le campagne FASTCash

compromettono i server delle applicazioni degli switch di pagamento nelle banche per eseguire transazioni fraudolente. In un episodio del 2017, attori noti come HIDDEN COBRA consentirono il prelievo simultaneo di contanti da sportelli automatici in oltre 30 paesi. Un altro caso nel 2018 vide prelievi simultanei in 23 paesi. Inizialmente, gli artefatti FASTCash erano progettati per sistemi Microsoft Windows e IBM AIX, ma le scoperte più recenti indicano che versioni per Linux sono state registrate su VirusTotal a partire da metà giugno 2023.

Il malware

si presenta come un oggetto condiviso, "libMyFc.so", compilato per Ubuntu Linux 20.04. È progettato per intercettare e modificare i messaggi di transazione ISO 8583 utilizzati per l'elaborazione delle carte di debito e credito, al fine di avviare prelievi di fondi non autorizzati. In particolare, manipola i messaggi di transazione rifiutati per fondi insufficienti legati a un elenco predefinito di numeri di conto, approvandoli per prelevare somme casuali in Lira turca.

I fondi prelevati per ogni transazione fraudolenta variano tra 12.000 e 30.000 Lira (equivalenti a circa 350-875 dollari), rispecchiando un artefatto di FASTCash per Windows noto come "switch.dll" dettagliato dalla U.S. Cybersecurity and Infrastructure Security Agency (CISA) nel settembre 2020. La scoperta della variante per Linux sottolinea l'importanza di disporre di adeguate capacità di rilevamento, spesso carenti negli ambienti server Linux.

Queste attività mettono in risalto la continua evoluzione delle minacce informatiche e l'adattamento dei cyber-criminali alle diverse piattaforme operative. L'adozione di misure di sicurezza proattive è fondamentale per proteggere le infrastrutture critiche e prevenire perdite finanziarie significative dovute a tali attacchi sofisticati.