VietNetwork.Vn

Các tác nhân đe dọa từ Triều Tiên đã bị phát hiện sử dụng một biến thể Linux của một họ phần mềm độc hại đã biết có tên là FASTCash để đánh cắp tiền như một phần của chiến dịch có động cơ tài chính.

Một nhà nghiên cứu bảo mật có biệt danh là HaxRob cho biết phần mềm độc hại này "được cài đặt trên các thiết bị chuyển mạch thanh toán trong các mạng bị xâm phạm dùng để xử lý giao dịch thẻ nhằm mục đích rút tiền mặt trái phép từ các máy ATM".


FASTCash lần đầu tiên được chính phủ Hoa Kỳ ghi nhận vào tháng 10 năm 2018 khi được các đối thủ có liên hệ với Triều Tiên sử dụng liên quan đến chương trình rút tiền mặt tại ATM nhắm vào các ngân hàng ở Châu Phi và Châu Á kể từ ít nhất là cuối năm 2016.

Các cơ quan này lưu ý vào thời điểm đó rằng: "Các chương trình FASTCash xâm nhập từ xa vào máy chủ ứng dụng chuyển mạch thanh toán trong ngân hàng để tạo điều kiện cho các giao dịch gian lận".

"Trong một vụ việc vào năm 2017, các tác nhân HIDDEN COBRA đã cho phép rút tiền mặt đồng thời từ các máy ATM ở hơn 30 quốc gia khác nhau. Trong một vụ việc khác vào năm 2018, các tác nhân HIDDEN COBRA đã cho phép rút tiền mặt đồng thời từ các máy ATM ở 23 quốc gia khác nhau."

Trong khi các hiện vật FASTCash trước đây có hệ thống chạy Microsoft Windows (bao gồm một hiện vật được phát hiện gần đây vào tháng trước) và IBM AIX, những phát hiện mới nhất cho thấy các mẫu được thiết kế để xâm nhập vào hệ thống Linux lần đầu tiên được gửi lên nền tảng VirusTotal vào giữa tháng 6 năm 2023.


Phần mềm độc hại này có dạng một đối tượng chia sẻ ("libMyFc.so") được biên dịch cho Ubuntu Linux 20.04. Nó được thiết kế để chặn và sửa đổi các thông báo giao dịch ISO 8583 được sử dụng để xử lý thẻ ghi nợ và thẻ tín dụng nhằm mục đích thực hiện rút tiền trái phép.

Cụ thể, nó bao gồm việc thao túng các tin nhắn giao dịch bị từ chối (quẹt từ) do không đủ tiền cho danh sách số tài khoản chủ thẻ được xác định trước và chấp thuận cho họ rút một số tiền ngẫu nhiên bằng đồng Lira Thổ Nhĩ Kỳ.

Số tiền rút ra cho mỗi giao dịch gian lận dao động từ 12.000 đến 30.000 Lira (350 đến 875 đô la), tương tự như hiện vật Windows FASTCash ("switch.dll") trước đó đã được Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) nêu chi tiết vào tháng 9 năm 2020.

Nhà nghiên cứu cho biết: "Việc phát hiện ra biến thể Linux càng nhấn mạnh thêm nhu cầu về khả năng phát hiện đầy đủ, vốn thường thiếu trong môi trường máy chủ Linux".