Site icon Kiber.ba

Novi Linux-ov malicizoni softver koji krade novac s bankomata

Novi Linux-ov malicizoni softver koji krade novac s bankomata-Kiber.ba

Novi Linux-ov malicizoni softver koji krade novac s bankomata-Kiber.ba

Hakeri sve više ciljaju bankomate raznim nedozvoljenim metodama. Oni iskorištavaju fizičke i softverske ranjivosti kako bi prisilili mašine da izdaju gotovinu.

Porast dostupnih hakerskih alata na mračnom webu je olakšao ove napade čak i početnicima u prijetnjama.

HaxRob (@haxrob) iz DoubleAgent-a je nedavno otkrio novu varijantu malicioznog softvera za Linux pod nazivom “FASTCash”, “malware za prebacivanje plaćanja” koji posebno cilja bankomate zasnovane na Linux OS-u za krađu novca.

Istraživači veruju da je ova grupa povezana sa nekoliko drugih hakerskih grupa, kao što su  Lazarus , Advanced Persistent Threat 38 (APT38), Bluenoroff i Stardust Chollima.

Tehnička analiza

“FASTCash” je maliciozni softver dizajniran da narušava prekidače plaćanja u finansijskim mrežama, a pripisuje se “sjevernokorejskim” prijetnjama.

Primijećeno je da ovaj maliciozni softver sada cilja na Linux sisteme uz ranije poznate verzije za “IBM AIX” i “Windows”. 

Uzorak Linuxa, sastavljen za Ubuntu 20.04, presreće poruke o transakcijama ISO8583, posebno ciljajući odbijene transakcije magnetnog prevlačenja (identifikovane načinom unosa tačke usluge u DE22) za unaprijed određene brojeve računa. 

Zatim odobrava ove transakcije nasumičnim iznosima u turskim lirama (šifra valute TRY u DE49). 

Maliciozni softver manipuliše elementima podataka o transakcijama uključujući „uklanjanje polja vezanih za PIN“ („DE52“ i „DE53“) i „fokusira se na specifične indikatore vrste poruke“ („MTIs“) poput „100/110“ za upite o stanju i „200 /210” za finansijske transakcije. 

Očekuje se da poruke uključuju “prefiks dužine od 2 bajta” i “zaglavlje jedinice podataka transakcijskog protokola (TPDU) od 5 bajta”, što sugeriše da cilja na “specifičnu infrastrukturu plaćanja”. 

Tok napada (Izvor – DoubleAgent)

Iako je nešto manje “bogat funkcijama” od svog Windows kolege, ova Linux varijanta ilustruje evoluirajuću taktiku hakera u iskorištavanju ranjivosti u različitim OS-ima unutar financijskih ekosistema, posebno na mjestima gdje se provjere integriteta poruka mogu zaobići.

CISA-in izvještaj o FASTCASH malveru za Linux otkriva sofisticirani napad na mreže bankomata. Ovaj maliciozni softver manipuliše “porukama o finansijskim transakcijama ISO8583”, posebno ciljajući “odgovore za autorizaciju”. 

U ove poruke ubacuje “lažne iznose turskih lira” (12.000 do 30.000 TRY), koristeći “ISO4217 šifru valute 949” u polju DE54 (dodatni iznosi) i prilagođenu vrijednost “0387T” u “DE48” (dodatni podaci, privatni) . 

Maliciozni softver provjerava transakcije magnetnom trakom (DE22) i specifične kodove za obradu (DE3) za „upite o stanju“ i „povlačenje“. 

Ima sličnosti sa varijantom Windows-a, ali mu nedostaju neke funkcije kao što su „IP ​​provjere“. 

Ovaj maliciozni softver je napisan na “C++” i kompajliran sa “GCC 11.3.0 na Ubuntu 22.04.” Koristi “ptrace” za “injekciju procesa” i “subhook” za presretanje “recv funkcije”. 

Maliciozni softver dešifrira konfiguracijsku datoteku (‘/tmp/info.dat’) koja sadrži “ciljne PAN-ove” koristeći “AES128 CBC enkripciju.” 

Presreće “mrežne pakete” raščlanjivanjem “ISO8583 poruka” koristeći “Oscar-ISO8583 biblioteku”, a zatim ih modifikuje da “odobrava transakcije” i “povećava stanje”. 

Izvor: CyberSecurityNews

Exit mobile version