Una vulnerabilidad en las pasarelas de pago de Linux convierte a los cajeros automáticos en objetivos fáciles.
Investigadores del recurso doubleagent en los últimos meses han detectado actividad de una nueva versión del software malicioso FASTCash. Está dirigida a los sistemas operativos Linux y está vinculada a grupos de hackers de Corea del Norte.
El malware está enfocado en la infiltración de redes financieras para la extracción ilegal de dinero de cajeros automáticos. FASTCash intercepta y altera los datos de las transacciones procesadas en las pasarelas de pago, lo que permite aprobar solicitudes falsas de retiro de dinero.
Las versiones anteriores de FASTCash atacaban sistemas basados en IBM AIX y Windows. Sin embargo, la nueva variante para Linux, como descubrieron los investigadores, está diseñada para trabajar en Ubuntu 20.04. El programa malicioso puede interceptar mensajes de transacciones denegadas y aprobarlas, agregando montos aleatorios en liras turcas a la tarjeta.
Las investigaciones mostraron que la variante de Linux tiene mecanismos de funcionamiento similares a las versiones anteriores para Windows, pero con algunas diferencias. El objetivo principal del programa es manipular los mensajes ISO8583, que se utilizan para procesar transacciones. Al igual que la variante de Windows, trabaja con la moneda de Turquía y utiliza campos únicos para falsificar los datos de las transacciones.
Es notable que el malware explota vulnerabilidades en las pasarelas de pago donde faltan mecanismos de verificación de la integridad de los mensajes. Esto permite que FASTCash realice cambios sin ser detectado. El software malicioso genera respuestas falsas aprobadas a solicitudes por fondos insuficientes, insertando montos arbitrarios.
Los investigadores también señalaron que en el código de la versión de Linux hay indicios de uso de una máquina virtual VMware para el desarrollo. El malware puede ser inyectado en un proceso en ejecución mediante la llamada del sistema ptrace, lo que lo hace difícil de detectar sin configuraciones adecuadas de protección en los servidores Linux.
Aunque la variante de Linux tiene capacidades limitadas en comparación con la versión para Windows, sigue representando una amenaza seria para las instituciones financieras. El objetivo principal es la falsificación de datos de transacciones en dispositivos como cajeros automáticos y terminales POS, lo que permite a los atacantes obtener grandes sumas de dinero de manera ilegal.
Para prevenir tales ataques, los expertos recomiendan fortalecer la autenticación de los mensajes y utilizar métodos de protección más confiables, como el chip y PIN para tarjetas de débito, además de la verificación criptográfica de las respuestas a las solicitudes.