-
09/04/2020
-
93
-
594 bài viết
Biến thể mới của FASTCash hoạt động trên Linux tiếp tay Hacker đánh cắp tiền từ ATM
Gần đây, có 1 nhóm tin tặc Triều Tiên đang sử dụng biến thể mới của phần mềm độc hại FASTCash được thiết kế đặc biệt để hoạt động trên hệ điều hành Linux, nhằm tấn công các máy ATM. Mã độc này có khả năng lây nhiễm vào hệ thống chuyển mạch thanh toán và lấy cắp tiền từ máy ATM bằng cách khai thác lỗ hổng bảo mật hoặc điều khiển thiết bị từ xa. Sự xuất hiện của loại mã độc này có thể gây ra mối đe dọa lớn cho hệ thống ngân hàng và người dùng.
Các biến thể trước đây của FASTCash nhắm vào các hệ thống Windows và IBM AIX (Unix), nhưng theo một báo cáo mới đây tiết lộ, một phiên bản Linux chưa từng được phát hiện trước đây nhắm vào các bản phân phối Ubuntu 22.04 LTS.
Biến thể mới nhất này được phát hiện lần đầu tiên và được gửi tới VirusTotal vào tháng 6/ 2023, có nhiều điểm tương đồng về mặt hoạt động với các biến thể Windows và AIX trước đây.
Nó có dạng một thư viện chia sẻ được đưa vào một tiến trình đang chạy trên máy chủ chuyển mạch thanh toán với sự trợ giúp của lệnh gọi hệ thống 'ptrace', kết nối nó với các chức năng mạng.
Các thiết bị chuyển mạch này đóng vai trò trung gian xử lý liên lạc giữa các máy ATM/máy PoS và hệ thống trung tâm của ngân hàng, định tuyến các yêu cầu và phản hồi giao dịch. Phần mềm độc hại này chặn và thao túng các thông điệp giao dịch ISO8583 được sử dụng trong ngành tài chính để xử lý thẻ ghi nợ và thẻ tín dụng.
Và chúng nhắm vào các tin nhắn liên quan đến việc từ chối giao dịch do tài khoản của chủ thẻ không đủ tiền và thay thế phản hồi "từ chối" bằng "phê duyệt".
Tin nhắn bị thao túng cũng chứa một số tiền ngẫu nhiên từ 12.000 đến 30.000 Lira Thổ Nhĩ Kỳ (khoảng 350 - 875 đô la) để ủy quyền cho giao dịch được yêu cầu.
Sau khi tin nhắn bị thao túng, sẽ được gửi lại hệ thống trung tâm của ngân hàng có chứa mã phê duyệt (DE38, DE39) và số tiền (DE54), ngân hàng sẽ chấp thuận giao dịch và một kẻ chuyển tiền bất hợp pháp sẽ bị tin tặc lợi dụng và thay mặt cho tin tặc rút tiền từ máy ATM.
Điều nguy hiểm là hiện tại phiên bản Linux của FASTCash còn không bị VirusTotal phát hiện, nghĩa là nó có thể trốn tránh hầu hết các công cụ bảo mật tiêu chuẩn, cho phép đối tượng thực hiện giao dịch mà không bị phát hiện.
Các biến thể trước đây của FASTCash nhắm vào các hệ thống Windows và IBM AIX (Unix), nhưng theo một báo cáo mới đây tiết lộ, một phiên bản Linux chưa từng được phát hiện trước đây nhắm vào các bản phân phối Ubuntu 22.04 LTS.
Biến thể mới nhất này được phát hiện lần đầu tiên và được gửi tới VirusTotal vào tháng 6/ 2023, có nhiều điểm tương đồng về mặt hoạt động với các biến thể Windows và AIX trước đây.
Nó có dạng một thư viện chia sẻ được đưa vào một tiến trình đang chạy trên máy chủ chuyển mạch thanh toán với sự trợ giúp của lệnh gọi hệ thống 'ptrace', kết nối nó với các chức năng mạng.
Các thiết bị chuyển mạch này đóng vai trò trung gian xử lý liên lạc giữa các máy ATM/máy PoS và hệ thống trung tâm của ngân hàng, định tuyến các yêu cầu và phản hồi giao dịch. Phần mềm độc hại này chặn và thao túng các thông điệp giao dịch ISO8583 được sử dụng trong ngành tài chính để xử lý thẻ ghi nợ và thẻ tín dụng.
Và chúng nhắm vào các tin nhắn liên quan đến việc từ chối giao dịch do tài khoản của chủ thẻ không đủ tiền và thay thế phản hồi "từ chối" bằng "phê duyệt".
Tin nhắn bị thao túng cũng chứa một số tiền ngẫu nhiên từ 12.000 đến 30.000 Lira Thổ Nhĩ Kỳ (khoảng 350 - 875 đô la) để ủy quyền cho giao dịch được yêu cầu.
Sau khi tin nhắn bị thao túng, sẽ được gửi lại hệ thống trung tâm của ngân hàng có chứa mã phê duyệt (DE38, DE39) và số tiền (DE54), ngân hàng sẽ chấp thuận giao dịch và một kẻ chuyển tiền bất hợp pháp sẽ bị tin tặc lợi dụng và thay mặt cho tin tặc rút tiền từ máy ATM.
Điều nguy hiểm là hiện tại phiên bản Linux của FASTCash còn không bị VirusTotal phát hiện, nghĩa là nó có thể trốn tránh hầu hết các công cụ bảo mật tiêu chuẩn, cho phép đối tượng thực hiện giao dịch mà không bị phát hiện.
Theo Bleeping Computer