Χάκερς από τη Βόρεια Κορέα χρησιμοποιούν μια νέα παραλλαγή του FASTCash malware που λειτουργεί σε Linux, προκειμένου να μολύνουν τα συστήματα πληρωμών χρηματοπιστωτικών ιδρυμάτων και να εκτελούν μη εξουσιοδοτημένες αναλήψεις χρημάτων.

Οι προηγούμενες παραλλαγές του FASTCash είχαν στόχο τα λειτουργικά συστήματα Windows και IBM AIX (Unix). Έκθεση του ερευνητή ασφαλείας HaxRob αποκαλύπτει αυτή τη νέα έκδοση που στοχεύει τις διανομές Ubuntu 22.04 LTS.

Η CISA προειδοποίησε για το σχέδιο ταμειακής ανάληψης FASTCash τον Δεκέμβριο του 2018, αποδίδοντας τη δραστηριότητα στην υποστηριζόμενη από το κράτος Βόρεια Κορεατική ομάδα χάκερ γνωστή ως «Hidden Cobra». Σύμφωνα με έρευνες της υπηρεσίας, οι απειλητικοί φορείς χρησιμοποιούν το FASTCash από το 2016, κλέβοντας δεκάδες εκατομμύρια δολάρια ανά περιστατικό μέσω ταυτόχρονων επιθέσεων ανάληψης σε 30 και πλέον χώρες.

Η νέα παραλλαγή, που εντοπίστηκε από τον HaxRob, υποβλήθηκε για πρώτη φορά στο VirusTotal τον Ιούνιο του 2023 και εμφανίζει εκτενείς λειτουργικές ομοιότητες με τις προηγούμενες εκδόσεις Windows και AIX. Λειτουργεί ως κοινή βιβλιοθήκη που εισάγεται σε μια τρέχουσα διαδικασία σε διακομιστή πληρωμών, εκμεταλλευόμενη την κλήση συστήματος «ptrace».

Το malware παρεμβάλλει και παραποιεί μηνύματα συναλλαγών ISO8583 που χρησιμοποιούνται στον χρηματοπιστωτικό τομέα, αντικαθιστώντας τις απαντήσεις «απορρίπτεται» με «εγκρίνεται», επιτρέποντας στους χάκερ να εκτελούν αναλήψεις χρημάτων.

Μέχρι την ανακάλυψή του, η Linux παραλλαγή του FASTCash δεν είχε ανιχνευθεί στο VirusTotal, γεγονός που της επιτρέπει να αποφεύγει τα περισσότερα τυπικά εργαλεία ασφαλείας.