Lo schema FASTCASH è uno schema incassare pericolosa ATM che viene utilizzato dal gruppo hacker Lazarus. Questa collettiva criminale è prolifica al lancio di campagne di attacco avanzate contro obiettivi di alto profilo. Il nostro articolo riassume i loro ultimi attacchi che estrae soldi dal bancomat.
The Lazarus Gli hacker sono dietro il corso Attacchi FASTCASH Scheme
Il centro di US-CERT ha pubblicato un advisory congiunta con DHS, L'FBI e il Tesoro sulla diffusa l'abuso del sistema FASTCASH che permette ai criminali di sportelli bancomat cash-out. Questo gruppo hacker è ben noto per condurre attacchi di alto profilo con codice complesso - strumenti di misura che vengono creati specificamente per gli obiettivi. La ricerca sottoposti mostra che esse sono state abusando della tecnica FASTCASH almeno dal 2016 contro obiettivi bancari.
Gli esperti di sicurezza hanno esaminato 10 campioni di malware contenenti codice FASTCASH. Essi sono concepiti per disturbare i server SWIFT che elaborano transazioni e manipolare i messaggi. Come risultato di questo sarà modificato il comportamento delle macchine ATM. L'analisi mostra che gli hacker Lazarus hanno consentito fondi prelevati contemporaneamente da macchine situate in 23 paesi diversi.Il motivo per cui vengono manipolati i server SWIFT è che convalidano le coordinate bancarie degli utenti target. Manipolazioni di questi dati possono portare al ritiro dei loro fondi.
La tecnica FASTCASH viene distribuito ai server di applicazioni tramite script che sfruttano le vulnerabilità. Una volta che le intrusioni sono fatto il codice maligno sarà intercettare e rispondere ai messaggi finanziari provenienti dalle macchine ATM e mestieri propri risposte. Le risposte seguiranno le norme e la struttura stabilite. Ciò significa che gli hacker hanno avanzato la conoscenza di come i protocolli e gli standard sono elaborati.
Uno dei motivi per cui gli attacchi hanno successo è che i server applicativi compromessi erano in esecuzione versioni del sistema operativo supportate, specificamente AIX IBM (Avanzate Interactive eXecutive) che è così popolare scelta UNIX per i clienti enterprise. L'analisi mostra anche che la maggior parte dei conti che vengono utilizzati per avviare le operazioni hanno avuto un'attività minima o saldi pari a zero. Finora i casi confermati di questa tecnica sono banche in Africa e in Asia. esperti governativi USA stanno studiando incidenti segnalati per vedere se sono collegati a FASCASH e gli hacker Lazarus.
La fonte di infezioni si ritiene siano messaggi truffa arrivano attraverso messaggi di posta elettronica o siti internet. Gli obiettivi sono stati inviati i messaggi o reindirizzati a siti che sono progettati per apparire come fonti legittime. Un file eseguibile è il payload principale che conduce alla infezione da malware.
Data la complessità del caso e la conoscenza avanzata degli hacker Lazzaro ci aspettiamo che altre campagne sono imminenti.