Hackers norte-coreanos voltaram a atacar o sistema financeiro mundial com uma nova variante Linux do infame malware FASTCash. Este malware tem como alvo sistemas de pagamento, permitindo que os cibercriminosos realizem saques não autorizados em caixas eletrônicos (ATMs). O malware, que anteriormente se concentrava em sistemas Windows e IBM AIX, foi identificado pela primeira vez em sistemas Linux Ubuntu 22.04 LTS, conforme relatado pelo pesquisador de segurança HaxRob.
Histórico de ataques do malware FASTCash
O malware FASTCash foi inicialmente detectado em 2016, quando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre um esquema de saque fraudulento em ATMs, associando a operação ao grupo de hackers norte-coreano ‘Hidden Cobra’. Esses criminosos utilizavam o FASTCash para realizar saques simultâneos em múltiplos ATMs ao redor do mundo, causando prejuízos de dezenas de milhões de dólares.
Em 2020, o Comando Cibernético dos EUA voltou a destacar a ameaça representada pelo FASTCash 2.0, vinculando suas atividades ao grupo APT38, também conhecido como Lazarus. A magnitude desses ataques foi tão significativa que, em 2021, três hackers norte-coreanos foram indiciados por roubo de mais de 1,3 bilhões de dólares de instituições financeiras globais.
Ameaça ao Linux
A variante mais recente do FASTCash, descoberta em junho de 2023, opera de maneira semelhante às versões anteriores voltadas para Windows e AIX. A diferença está na forma como ela se integra aos sistemas Linux, particularmente em servidores que operam como switch de pagamento.
O malware é injetado em um processo em execução através da chamada de sistema ‘ptrace’, o que permite que ele intercepte e modifique mensagens ISO8583 — um protocolo amplamente utilizado para processar transações com cartões de débito e crédito. Isso significa que o malware consegue transformar respostas de “transação recusada por saldo insuficiente” em “aprovada”, permitindo que hackers ou seus cúmplices retirem dinheiro sem que o banco perceba a fraude.
A gravidade da situação é intensificada pelo fato de que, no momento de sua descoberta, essa variante Linux não era detectada por nenhuma ferramenta de segurança convencional no VirusTotal, o que facilita a execução dos ataques sem serem interceptados.
Evolução constante da ameaça
Além da versão Linux, um novo envio de uma variante Windows do FASTCash foi registrado no VirusTotal em setembro de 2024, sugerindo que os hackers estão constantemente aprimorando suas ferramentas de ataque, tornando suas operações ainda mais difíceis de detectar e conter.
Com a constante evolução desse malware, instituições financeiras ao redor do mundo precisam estar vigilantes e atualizar suas soluções de segurança para enfrentar essa ameaça crescente. Reforçar protocolos de segurança, monitorar padrões de transações incomuns e investir em novas tecnologias de defesa cibernética são medidas essenciais para mitigar os danos causados pelo FASTCash e outros malwares similares.