O esquema FastCash é um esquema de cash-out ATM perigoso que está sendo usado pelo grupo de hackers Lázaro. Este colectivo criminal é prolífico no lançamento de campanhas de ataque avançados contra alvos de alto perfil. Nosso artigo resume seus últimos ataques que extraem dinheiro de máquinas ATM.
Os hackers do Lazarus estão por trás dos ataques contínuos do esquema FASTCASH
O centro US-CERT publicou um parecer conjunto com o DHS, O FBI e o Tesouro sobre o abuso generalizado do esquema FASTCASH, que permite aos criminosos sacar caixas eletrônicos. Este grupo de hackers é conhecido por conduzir ataques de alto perfil usando código complexo - ferramentas personalizadas que são criadas especificamente para os alvos. A pesquisa realizada mostra que eles têm abusado da técnica FASTCASH desde pelo menos 2016 contra alvos bancários.
Especialistas em segurança examinados 10 amostras de malware contendo código FASTCASH. Eles são projetados para invadir os servidores SWIFT que processam transações e manipulam as mensagens. Como resultado disso, o comportamento das máquinas ATM será alterado. A análise mostra que os hackers do Lazarus têm a possibilidade de retirar fundos simultaneamente de máquinas localizadas em 23 países diferentes.A razão pela qual os servidores SWIFT são manipulados é que eles validam os detalhes da conta bancária dos usuários-alvo. Manipulações desses dados podem levar à retirada de seus fundos.
A técnica FASTCASH é implantada nos servidores de aplicativos por meio de scripts que aproveitam as vulnerabilidades. Assim que as intrusões forem feitas, o código malicioso irá interceptar e responder às mensagens financeiras que chegam das máquinas ATM e criar suas próprias respostas. As respostas seguirão as normas e estrutura estabelecidas. Isso significa que os hackers têm conhecimento avançado de como os protocolos e padrões são processados.
Uma das razões pelas quais os ataques são bem-sucedidos é que os servidores de aplicativos comprometidos estavam executando versões de sistema operacional não suportadas, especificamente IBM AIX (Advanced Interactive eXecutive) que é a escolha UNIX mais popular para clientes corporativos. A análise também mostra que a maioria das contas que são usadas para iniciar as transações tinham uma atividade mínima ou saldo zero. Até o momento os casos confirmados dessa técnica são de bancos na África e na Ásia. Especialistas do governo dos EUA estão investigando incidentes relatados para ver se eles estão ligados ao FASCASH e aos hackers do Lazarus.
Acredita-se que a fonte de infecções seja mensagens de embuste chegando por meio de mensagens de e-mail ou sites da Internet. Os alvos foram mensagens enviadas ou redirecionadas para sites que são projetados para aparecer como fontes legítimas. Um arquivo executável é a carga primária que leva à infecção por malware.
Dada a complexidade deste caso e o conhecimento avançado dos hackers Lazarus, esperamos que outras campanhas sejam lançadas.