Kuzey Koreli bilgisayar korsanları, yeni FASTCash kötü amaçlı yazılımıyla Linux tabanlı ödeme anahtarlarını hedef alarak ATM’den para çekme olanağı sağlıyor. Finansal altyapınızı güvence altına alın ve uzman siber güvenlik çözümleriyle bu karmaşık saldırılara karşı koruma sağlayın.
Daha önce Windows ve AIX sistemlerini hedef aldığı bilinen FASTCash kötü amaçlı yazılımının yeni bir çeşidinin artık Linux tabanlı ödeme anahtarlarını hedef aldığı belirlendi.
İlk kez 2018’de US CISA tarafından belgelenen FASTCash, en az 2016’dan bu yana Afrika ve Asya’daki bankaları hedef alan bir dizi ATM para çekme planıyla ilişkilendiriliyor ve Lazarus (diğer adıyla Kuzey Kore devlet destekli kötü şöhretli hack grubu) tarafından geliştirildi. Gizli Kobra).
Kötü amaçlı yazılım, bir bankanın kart işlemlerini işlemekten sorumlu altyapısının önemli bileşenleri olan ödeme anahtarı sunucularını tehlikeye atarak çalışıyor. Bu sistemler, alıcılar (tüccarların ödeme kabul etmesini sağlayan bankalar), kart verenler (kart sağlayan bankalar) ve Visa ve Mastercard gibi kart ağları arasındaki işlem verilerinin akışını yönetir. Kötü amaçlı yazılım, bu ödeme anahtarı sunucularını hedef alarak tüm işlem sürecini kesintiye uğratıyor ve finansal kurumları dolandırıcılığa karşı savunmasız hale getiriyor.
Linux için FASTCash, yapılandırma dosyasını korumak için Ubuntu Linux 22.04 (Focal Fossa), C++ programlama dili, AES-128 CBC şifrelemesi ve sabit kodlanmış bir anahtar kullanır.
HaxRob tanıtıcısını kullanan bir araştırmacı, Haziran 2023’te Linux anahtarları için iki yeni FASTCash örneği keşfetti; biri Ubuntu Linux 20.04 için derlendi ve muhtemelen 21 Nisan 2022’den sonra geliştirildi, diğeri ise muhtemelen kullanılmıyor. Pazar günü itibarıyla her bir örneği yalnızca dört kötü amaçlı yazılımdan koruma motoru tespit etti.
HaxRob, kötü amaçlı yazılımın bankalar arası anahtarın kullanıcı alanında bulunduğunu açıklıyor. Güvenliği ihlal edilmiş bir kart sahte çeviri için kullanıldığında FASTCash, kartı veren kuruluşlardan alınan mesajları manipüle ederek, reddedilen işlem mesajlarının onaya dönüştürülmesine neden olur.
FASTCash’in Linux versiyonu, “libMyFc.so” adlı paylaşılan bir nesne dosyası olarak gizlenmiştir. Özellikle, ödeme ağları içindeki iletişim için standart format olan ISO 8583 mesajlarını hedef alıyor ve kart sahibi hesaplarının önceden belirlenmiş bir listesi için genellikle yetersiz fon nedeniyle tetiklenen reddedilen işlem mesajlarına müdahale ediyor.
Daha sonra bu mesajları manipüle ederek, 12.000 ila 30.000 Lira (350 ila 875 $) arasında değişen Türk Lirası cinsinden rastgele para çekme yetkisi veriyor. Bu çalışma şekli, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Eylül 2020’de tanımlanan FASTCash’in Windows versiyonunu yansıtıyor.
Hedeflenen işlemler için kötü amaçlı yazılım, yetkilendirme yanıt mesajını şu şekilde değiştirir:
- Algılanmayı önlemek için belirli veri öğelerinin kaldırılması.
- Onayı belirtmek için işleme kodunun üzerine yazılması.
- İşlem tutarına rastgele miktarda Türk Lirası eklenmesi.
Bu genişleme, Kuzey Kore’nin finansal kurumları hedef alan siber saldırılarının artan karmaşıklığını ve sürekliliğini ve ödeme sistemi sistemlerinde gelişmiş güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Kuruluşlar, korunmayı sürdürmek için güçlü tespit yetenekleri uygulamalı, yazılımı düzenli olarak güncellemeli, güvenlik kontrollerini yapılandırmalı, yama ve güncelleme sistemlerini yapılandırmalı, güçlü ağ güvenliği uygulamalı, düzenli denetimler gerçekleştirmeli ve personelini kimlik avı ve sosyal mühendislik riskleri konusunda eğitmelidir.
İLGİLİ KONULAR
- ATMJackpot Kötü Amaçlı Yazılım ATM’lerden Nakit Çalıyor
- Siber Suçlular Dark Web’de Bitcoin ATM Kötü Amaçlı Yazılım Satıyor
- ATM bombalama zanlısı eğitim çekimi sırasında kendini havaya uçurdu
- SoCal’da EBT Hesaplarını Boşaltmak İçin Kullanılan Kart Kaydedicileri ve ATM’ler
- Prilex ATM Kötü Amaçlı Yazılımı Chip-and-Pin Ödeme Kartlarını Klonlayacak Şekilde Değiştirildi