Los actores de amenazas norcoreanos están utilizando una variante de Linux de una familia de malware conocida como “FASTCash” para llevar a cabo una campaña cibernética con motivación financiera.
FASTCash es un malware de cambio de pagos, documentado por primera vez por el gobierno de EE. UU. en octubre de 2018 cuando lo utilizan adversarios norcoreanos como parte de un sistema de cajeros automáticos dirigido a bancos en África y Asia.
Desde entonces, se han producido dos acontecimientos importantes dentro de la campaña. La primera es su capacidad para hacer campaña contra los bancos que alojan su aplicación Switch en Windows Server, y la segunda es la expansión de la campaña para apuntar a los procesadores de pagos interbancarios.
Las versiones anteriores del malware apuntaban a sistemas que ejecutaban Microsoft Windows e IBM AIX, aunque los últimos hallazgos del malware ahora indican que está diseñado para infiltrarse en sistemas Linux.
El malware modifica los mensajes de transacción ISO 8583 utilizados en transacciones con tarjetas de débito y crédito para iniciar retiros no autorizados, logrando incluso manipular transacciones rechazadas debido a fondos insuficientes, luego les autoriza a retirar dinero en moneda turca que oscila entre 12.000 y 30.000 liras (entre 350 y 875 dólares). . .
“Cualquier organización comercial debe informar sobre la técnica de inyección de proceso utilizada para interceptar mensajes de transacciones. [endpoint detection and response] o un agente Linux de código abierto con la configuración adecuada para detectar el uso de la llamada al sistema ptrace», los investigadores señalaron en el informe.
Los investigadores también destacan las recomendaciones de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para implementar requisitos de chip y PIN para tarjetas de débito, exigir y verificar códigos de autenticación de mensajes en mensajes de respuesta de solicitudes financieras y realizar la validación del criptograma de respuesta de autorización para transacciones con chip y PIN. para impedir la explotación. intentos.
