15.10.2024 | FASTCash: как отклонённые транзакции превращаются в реальные деньги |
Исследователи с ресурса doubleagent в последние месяцы фиксируют активность новой версии вредоносного программного обеспечения FASTCash. Она направлена на операционные системы Linux и связана с хакерскими группировками из Северной Кореи. Вредонос нацелен на взлом финансовых сетей для незаконного снятия денег с банкоматов. FASTCash перехватывает и изменяет данные транзакций, обрабатываемых на платёжных шлюзах, что позволяет одобрять ложные запросы на снятие средств. Ранее известные версии FASTCash поражали системы на базе IBM AIX и Windows. Однако новая Linux-вариация, как выяснили исследователи, предназначена для работы на Ubuntu 20.04. Вредоносная программа может перехватывать сообщения об отказанных транзакциях и одобрять их, добавляя случайные суммы на карту в турецких лирах. Исследования показали, что Linux-вариант имеет схожие механизмы работы с предыдущими версиями для Windows, но с некоторыми отличиями. Основное назначение программы — манипуляция сообщениями ISO8583, которые используются для обработки транзакций. Как и Windows-вариант, она работает с валютой Турции и использует уникальные поля для фальсификации данных транзакций. Примечательно, что вредоносное ПО использует уязвимости в платёжных шлюзах, где отсутствуют механизмы проверки целостности сообщений. Это позволяет FASTCash вносить изменения, оставаясь незамеченным. Вредоносная программа создаёт ложные одобренные ответы на запросы о недостаточных средствах, подставляя произвольные суммы. Исследователи также отметили, что в коде Linux-версии есть признаки использования виртуальной машины VMware для разработки. Вредоносная программа может быть внедрена в работающий процесс с помощью системного вызова ptrace, что делает её трудной для обнаружения без соответствующих настроек систем защиты на серверах Linux. Хотя Linux-вариант имеет ограниченные возможности по сравнению с версией для Windows, он всё же представляет серьёзную угрозу для финансовых учреждений. Основная цель — подделка данных о транзакциях на устройствах, таких как банкоматы и POS-терминалы, что позволяет злоумышленникам получать крупные суммы незаконно. Чтобы предотвратить подобные атаки, эксперты советуют усилить проверку подлинности сообщений и использовать более надёжные методы защиты, такие как чип и PIN для дебетовых карт, а также криптографическую проверку ответов на запросы. |
Проверить безопасность сайта