El esquema FastCash es un esquema de salida de efectivo ATM peligroso que está siendo utilizado por el grupo de piratas informáticos Lázaro. Este colectivo es prolífica penal en el lanzamiento de campañas de ataque avanzada contra objetivos de alto perfil. Nuestro artículo resume sus últimos ataques que extrae dinero de cajeros automáticos.
La Lázaro hackers están detrás de los ataques en curso FastCash Scheme
El centro de la US-CERT ha publicado un aviso conjunto con el DHS, El FBI y el Tesoro sobre el abuso generalizado del esquema FastCash que permite a los criminales de cajeros automáticos de cobro o. Este grupo de hackers es bien conocido para la realización de ataques de alto perfil usando el código complejo - herramientas a medida que se crean específicamente para los objetivos. La investigación sufrido demuestra que han estado abusando de la técnica FastCash desde al menos 2016 contra objetivos bancarias.
Los expertos en seguridad examinaron 10 muestras de malware que contienen código FastCash. Están concebidos para invadir los servidores que procesan las transacciones SWIFT y manipular los mensajes. Como resultado de esto será alterado el comportamiento de las máquinas ATM. El análisis muestra que los hackers Lazarus lo tienen posibles fondos para retira simultáneamente de máquinas situadas en 23 diferentes paises.La razón por la cual se manipulan los servidores SWIFT es que se validan los datos bancarios de los usuarios objetivo. Las manipulaciones de estos datos pueden dar lugar a la retirada de sus fondos.
La técnica FastCash se implementa en los servidores de aplicaciones a través de scripts que se aprovechan de las vulnerabilidades. Una vez que las intrusiones se realizan el código malicioso interceptar y responder a los mensajes financieros que vienen de los cajeros automáticos y las embarcaciones de sus propias respuestas. Las respuestas seguirán las normas y estructura establecidos. Esto significa que los hackers han avanzado conocimiento de cómo los protocolos y estándares son procesados.
Una de las razones por las que los ataques tienen éxito es que los servidores de aplicaciones comprometidas corrían versiones no soportadas del sistema operativo, específicamente AIX de IBM (Advanced Interactive eXecutive) que es tan popular elección UNIX para clientes empresariales. El análisis también muestra que la mayoría de las cuentas que se utilizan para iniciar las transacciones tenían una actividad mínima o saldos en cero. Hasta ahora los casos confirmados de esta técnica son los bancos en África y Asia. expertos gubernamentales Estados Unidos están investigando los incidentes reportados para ver si están vinculados a los piratas informáticos FASCASH y Lazarus.
La fuente de las infecciones se cree que es mensajes de estafa entra a través de mensajes de correo electrónico o sitios de Internet. Los objetivos fueron enviados los mensajes o redirigen a sitios que están diseñados para aparecer como fuentes legítimas. Un archivo ejecutable es la carga útil principal que conduce a la infección de malware.
Dada la complejidad de este caso y el conocimiento avanzado de los piratas informáticos Lazarus esperamos que otras campañas son próximas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: