Une nouvelle variante de malware FASTCash pour Linux permet de siphonner des fonds des distributeurs automatiques
Linux

Une nouvelle variante de malware FASTCash pour Linux permet de siphonner des fonds des distributeurs automatiques

Par Hugues , le 17 octobre 2024 , mis à jour le 17 octobre 2024 - 5 minutes de lecture

Une nouvelle menace informatique émerge avec la variante Linux du malware FASTCash, présentant une méthode élaborée pour siphonner des fonds des distributeurs automatiques. Annoncé par des chercheurs en sécurité, ce logiciel malveillant exploite des vulnérabilités spécifiques aux systèmes Linux, notamment les distributions comme Ubuntu 22.04 LTS, permettant ainsi aux cybercriminels de manipuler les transactions financières. Cette situation alarmante fait écho aux antécédents de FASTCash, qui a déjà provoqué des pertes financières significatives à l’échelle mondiale.

Une nouvelle variante du malware FASTCash, spécifiquement conçue pour les systèmes Linux, a été identifiée par des experts en sécurité. Ce logiciel malveillant cible les systèmes de paiement utilisés par les distributeurs automatiques, permettant aux attaquants de réaliser des retraits illicites de fonds. Ce développement représente une escalade inquiétante de la cybercriminalité, particulièrement pour les instituts financiers utilisant des distributions Linux.

Les caractéristiques du malware FASTCash pour Linux

Le malware FASTCash pour Linux se distingue par son mode d’attaque sophistiqué et son intégration dans les systèmes de paiement. Il apparaît sous la forme d’une bibliothèque partagée qui s’injecte dans des processus en cours sur un serveur de paiement. En utilisant l’appel système ‘ptrace’, le malware se connecte aux fonctions réseau, permettant une manipulation discrète des traitements de transaction.

Il intercepte et modifie les messages de transaction conformes à la norme ISO8583, un standard largement utilisé dans l’industrie financière pour le traitement des cartes de crédit et de débit. Plus particulièrement, il cible les messages de refus dus à des soldes insuffisants, en substituant la réponse de “refus” par une réponse de “approbation”.

L’historique de la menace FASTCash

L'historique de la menace FASTCash

Le malware FASTCash n’est pas un nouvel arrivant sur le terrain de la cybercriminalité. Initiée par le groupe de hackers nord-coréen ‘Hidden Cobra’, cette opération a été mise en lumière pour la première fois par l’agence CISA en décembre 2018. Ce groupe a utilisé le malware pour siphonner des millions de dollars via des attaques simultanées sur des distributeurs automatiques dans divers pays depuis au moins 2016.

Avec l’évolution de leurs techniques, les hackers ont montré leur capacité à cibler divers systèmes d’exploitation, y compris Windows et IBM AIX. Le rapport récent de HaxRob révèle que, en juin 2023, une variante pour Ubuntu 22.04 LTS a été identifiée sur VirusTotal, montrant la polyvalence croissante de cette menace.

Le processus d’exploitation du malware

Le processus d’attaque commence par l’infection d’un serveur de paiement, où le logiciel malveillant s’injecte dans un processus en cours d’exécution. Une fois en place, il manipule les messages de transaction en injectant des montants aléatoires, allant de 12 000 à 30 000 livres turques, dans les messages envoyés au système central de la banque. Cela permet la validation de retraits qui ne sont en réalité pas couverts par le solde du compte.

Une fois le message manipulé renvoyé au système bancaire avec les codes d’approbation appropriés, la banque traite la transaction comme valide. Cela permet ensuite à un courrier de fonds, agissant pour le compte des attaquants, de retirer les liquidités des distributeurs automatiques.

Implications et stratégies de défense

Implications et stratégies de défense

La découverte de cette variante pour Linux est alarmante, car elle souligne la nécessité d’une vigilance accrue au sein des institutions financières. Les systèmes de sécurité traditionnels semblent souvent incapables de détecter ces types d’attaques, comme l’indiquent les résultats négatifs sur VirusTotal. Cela souligne l’importance de l’implémentation de mesures de sécurité plus avancées, notamment des systèmes de détection d’intrusion et une surveillance renforcée des transactions financières.

Les développeurs et les ingénieurs en sécurité doivent travailler ensemble pour développer des solutions qui anticipent ces menaces. L’éducation et la sensibilisation au sein des organisations financières sont également essentielles pour garantir que des procédures appropriées soient mises en œuvre lors de la gestion des systèmes Linux.

Comparaison des variantes de FASTCash

Caractéristiques Détails
Plateformes ciblées Linux (Ubuntu 22.04 LTS) et précédemment Windows / AIX
Méthode d’injection Injection par bibliothèque partagée via l’appel système ‘ptrace’
Manipulation des transactions Intercepte et modifie les messages ISO8583 pour approuver des transactions
Montant des retraits Entre 12 000 et 30 000 Lira turques (350 – 875 USD)
État de détection Pas de détection sur VirusTotal lors de sa découverte
Historique d’utilisation Actif depuis au moins 2016, lien avec des vols de plusieurs milliards
Objectif principal Siphonner des fonds des distributeurs automatiques à l’international
Évolution du malware Travail actif sur de nouvelles versions, y compris pour Windows

Caractéristiques de la nouvelle variante de FASTCash pour Linux

Caractéristiques de la nouvelle variante de FASTCash pour Linux
  • Type de malware : FASTCash pour Linux
  • Cible : Systèmes de paiement dans les institutions financières
  • Technique d’infection : Utilisation d’une bibliothèque partagée injectée dans des processus actifs
  • Système d’exploitation : Conçu pour Ubuntu 22.04 LTS
  • Manipulation des messages : Intercepte les messages ISO8583 liés aux transactions
  • Technique de contournement : Pas détecté par les outils de sécurité standards
  • Mécanisme de fraude : Change les réponses de refus d’opération en approbation
  • Montant des retraits : Fraude entre 12,000 et 30,000 Lira turques (environ $350 – $875)
  • Origine : Lié à un groupe de hackers nord-coréen
  • Antécédents : Activité remontant à 2016 avec des pertes de millions de dollars
Partager cet article :
Avatar photo

Hugues

Hugues, a 39 ans et il est développeur web indépendant. Passionné de football, de running et de domotique il aime créer des petites applications pour mieux gérer son quotidien.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.