Бесплатно Экспресс-аудит сайта:

15.10.2024

FASTCash: как отклонённые транзакции превращаются в реальные деньги

Исследователи с ресурса doubleagent в последние месяцы фиксируют активность новой версии вредоносного программного обеспечения FASTCash. Она направлена на операционные системы Linux и связана с хакерскими группировками из Северной Кореи.

Вредонос нацелен на взлом финансовых сетей для незаконного снятия денег с банкоматов. FASTCash перехватывает и изменяет данные транзакций, обрабатываемых на платёжных шлюзах, что позволяет одобрять ложные запросы на снятие средств.

Ранее известные версии FASTCash поражали системы на базе IBM AIX и Windows. Однако новая Linux-вариация, как выяснили исследователи, предназначена для работы на Ubuntu 20.04. Вредоносная программа может перехватывать сообщения об отказанных транзакциях и одобрять их, добавляя случайные суммы на карту в турецких лирах.

Исследования показали, что Linux-вариант имеет схожие механизмы работы с предыдущими версиями для Windows, но с некоторыми отличиями. Основное назначение программы — манипуляция сообщениями ISO8583, которые используются для обработки транзакций. Как и Windows-вариант, она работает с валютой Турции и использует уникальные поля для фальсификации данных транзакций.

Примечательно, что вредоносное ПО использует уязвимости в платёжных шлюзах, где отсутствуют механизмы проверки целостности сообщений. Это позволяет FASTCash вносить изменения, оставаясь незамеченным. Вредоносная программа создаёт ложные одобренные ответы на запросы о недостаточных средствах, подставляя произвольные суммы.

Исследователи также отметили, что в коде Linux-версии есть признаки использования виртуальной машины VMware для разработки. Вредоносная программа может быть внедрена в работающий процесс с помощью системного вызова ptrace, что делает её трудной для обнаружения без соответствующих настроек систем защиты на серверах Linux.

Хотя Linux-вариант имеет ограниченные возможности по сравнению с версией для Windows, он всё же представляет серьёзную угрозу для финансовых учреждений. Основная цель — подделка данных о транзакциях на устройствах, таких как банкоматы и POS-терминалы, что позволяет злоумышленникам получать крупные суммы незаконно.

Чтобы предотвратить подобные атаки, эксперты советуют усилить проверку подлинности сообщений и использовать более надёжные методы защиты, такие как чип и PIN для дебетовых карт, а также криптографическую проверку ответов на запросы.