خانه » نوع لینوکسی بدافزار FASTCash به سرقت پول از دستگاه های خودپرداز کمک می‌کند!

نوع لینوکسی بدافزار FASTCash به سرقت پول از دستگاه های خودپرداز کمک می‌کند!

توسط Vulnerbyte
26 بازدید
گروه والنربایت - گروه vulnerbyte - نوع لینوکسی بدافزار FASTCash - لینوکس - vulnerbyte Group

یک نوع جدید لینوکسی بدافزار FASTCash توسط HaxRob، محقق امنیتی doubleagent  کشف شده است که به گروه‌های هک تحت حمایت کره شمالی نسبت داده می‌شود. این بدافزار، موسسات مالی را با دستکاری سیستم‌های پرداخت برای تسهیل برداشت‌های غیرمجاز از ATM هدف قرار می‌دهد.

انواع قبلی بدافزار FASTCash، سیستم‌های ویندوز و IBM AIX  (یونیکس) را هدف قرار می‌دادند، اما گزارش HaxRob حاکی از یک نسخه لینوکسی جدید است که بر روی توزیع‌های Ubuntu 22.04 LTS متمرکز می‌باشد. این بدافزار برای سوء استفاده از سوئیچهای پرداخت در شبکه‌های بانکی طراحی شده است.

FASTCash یک بدافزار پیچیده می‌باشد که توسط هکرهای کره شمالی استفاده می‌گردد و عمدتاً به گروه Lazarus (لازاروس) و زیر گروه‌های آن مانند APT38 و BeagleBoyz نسبت داده می‌شود.

بدافزار FASTCash هکرها را قادر می‌سازد تا با نفوذ به سوئیچ‌های پرداخت داخلی مورد استفاده بانک‌ها، تأییدیه‌های برداشت جعلی را صادر کنند. این سوئیچ‌ها مسئول پردازش تراکنش‌های بین دستگاه‌های خودپرداز (ATM/PoS) و سیستم‌های مرکزی بانک هستند که درخواست‌ها و پاسخ‌های تراکنش را مسیریابی می‌کنند.

گروه والنربایت - گروه vulnerbyte - نوع لینوکسی بدافزار FASTCash - لینوکس - vulnerbyte Group

به گفته HaxRob، این بدافزار یک آسیب‌ پذیری کلیدی در سیستم پردازش پرداخت را هدف قرار می‌دهد. FASTCash به ‌عنوان یک کتابخانه مشترک پیاده‌سازی می‌شود که با استفاده از ptrace به فرآیند در حال اجرا موجود تزریق می‌گردد.

بدافزار FASTCash پیام‌های تراکنش را در نقطه‌ای از شبکه تغییر می‌دهد که در آن دستکاری باعث رد کردن پیام توسط سیستم‌های بالادستی یا پایین‌دستی نمی‌شود. این دستکاری به بدافزار اجازه می‌دهد تا تراکنش‌های جعلی خودپرداز را بدون ایجاد هشدار تأیید کند.

FASTCash malware - گروه والنربایت - گروه vulnerbyte - بدافزار مالی - لینوکس - vulnerbyte Group

در حالی که نسخه‌های قبلی FASTCash سیستم‌های IBM AIX و ویندوز را هدف قرار می‌دادند، کشف نوع لینوکسی آن نشان ‌دهنده گسترش تطبیق ‌پذیری بدافزار است. نوع لینوکسی تازه شناسایی شده، عملکردهای کلیدی خود مانند رهگیری پیام‌های تراکنش‌های رد شده برای فهرست از پیش تعریف ‌شده‌ای از شماره حساب‌ها و سپس مجاز کردن تراکنش با مبلغ تصادفی به واحد پول ترکیه یعنی لیر را حفظ کرده است.

این رهگیری به بدافزار اجازه می‌دهد تا با وجود کمبود وجه در حساب‌های قربانیان، تراکنش‌های جعلی را مجاز کند. مقدار تصادفی لیر ترکیه به‌طور متقلبانه به پیام‌های پاسخ اضافه می‌شود و بدافزار FASTCash، فرآیندهای اعتبارسنجی تراکنش‌های عادی را دور می‌زند.

این نشان می‌دهد که چگونه هکرها به طور مداوم تاکتیک‌های خود را برای نفوذ به طیف گسترده‌تری از سیستم‌ها تطبیق می‌دهند.

نسخه لینوکسی بدافزار FASTCash احتمالاً در یک ماشین مجازی توسعه یافته است. جالب است که هر دو نوع لینوکسی و ویندوز، زیرساخت‌های پرداخت مشابه را هدف قرار می‌دهند و به تلاش هماهنگ هکرها برای نفوذ به چندین پلتفرم در شبکه‌های مالی یکسان اشاره دارند.

بدافزار FASTCash با رهگیری پیام‌های ISO8583  (پیام‌های استاندارد مورد استفاده در تراکنش‌های کارت اعتباری و نقدی) بین دستگاه خودپرداز یا پایانه‌های فروش و سیستم پردازش پرداخت بانک کار می‌کند. هنگامی که بدافزار در محل قرار گرفت، پیام‌ها را تغییر می‌دهد تا تراکنش‌ها را حتی زمانی که باید رد شوند، مجاز نماید.

FASTCash به تابع recv()، متصل می‌شود و درخواست‌های تراکنش را نظارت می‌کند. چنانچه تراکنش رد شده شناسایی شود، بدافزار یک پیام تأیید جعلی را مجددا به سیستم تزریق می‌کند و با وجود کمبود بودجه، امکان برداشت از ATM را فراهم می‌آورد.

حملات FASTCash عمدتاً بر روی سوئیچ‌های پرداخت که با لیر ترکیه کار می‌کنند متمرکز شده‌اند، اگرچه نسخه‌های قدیمی‌تر این بدافزار ارزهای دیگری مانند روپیه هند را هدف قرار می‌دادند.

بدافزار FASTCash با دستکاری پیام‌های ISO8583، از شناسایی توسط سیستم‌های اعتبارسنجی تراکنش استاندارد جلوگیری می‌کند. این امر آن را بسیار خطرناک می‌سازد، چرا که می‌توان از آن برای تخلیه دستگاه‌های خودپرداز در مناطق مختلف بدون ایجاد فلگ قرمز فوری در سیستم‌های بانکی استفاده کرد.

کشف نوع جدید بدافزار FASTCash بر نیاز به بهبود مکانیزم‌های شناسایی و پاسخ، به ویژه برای سیستم‌های مبتنی بر لینوکس که به طور فزاینده‌ای به اهداف کمپین‌های بدافزاری پیچیده تبدیل شده‌اند، تاکید دارد.

HaxRob توصیه می‌کند که مؤسسات مالی، تأیید تراشه و پین را برای کارت‌های نقدی به همراه کدهای تأیید اعتبار پیام به منظور تأیید پاسخ‌های تراکنش‌ها اجرا کنند. تکنیک تزریق فرآیند که برای رهگیری پیام‌های تراکنش استفاده می‌شود باید توسط هر EDR تجاری یا ایجنت لینوکس منبع باز با پیکربندی مناسب برای تشخیص استفاده از فراخوانی سیستمی ptrace علامت‌گذاری شود.

برای مبارزه با تهدیدات ناشی از FASTCash و گونه‌های بدافزارهای مشابه، HaxRob و دیگر کارشناسان امنیتی توصیه کرده‌اند که موسسات مالی کنترل‌های امنیتی سخت‌گیرانه‌تری را اجرا کنند، از جمله:

  • الزامات تراشه و پین را برای کارت‌های نقدی پیاده سازی کنند.
  • کدهای احراز هویت را در پیام‌های پاسخ به درخواست مالی صادرکننده الزامی کرده و تأیید نمایند.
  • اعتبار سنجی رمزگذاری پاسخ مجوز برای تراکنش‌های تراشه و پین انجام گردد.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید