18/12/2024

Actu Cybersécurité

Le malware FASTCash pour Linux utilisé pour voler de l’argent à partir des distributeurs de billets !

Des pirates nord-coréens s'appuient sur une nouvelle variante Linux du malware FASTCash pour infecter les systèmes de paiement des institutions financières dans le but d'effectuer des retraits d'argent non autorisés. Une technique utilisée depuis au moins 2016. Faisons le point.

Le chercheur en sécurité HaxRob a repéré une nouvelle variante de FASTCash, conçue pour cibler les machines sous Linux, notamment Ubuntu 22.04 LTS. Jusqu'ici, FASTCash était utilisé pour cibler les systèmes Windows et IBM AIX.

Un rapport, publié en 2018 par l'agence américaine CISA, fait le lien entre FASTCash et un groupe de pirates nord-coréens surnommé "Hidden Cobra". Ce document précise : "Depuis au moins la fin de l'année 2016, les acteurs de HIDDEN COBRA ont utilisé les tactiques de FASTCASH pour cibler des banques en Afrique et en Asie.". Les pirates seraient parvenus à voler des dizaines de millions de dollars lors d'attaques simultanées dans au moins 30 pays.

Quant à la nouvelle variante pour Linux, elle a été chargée sur VirusTotal pour la première fois en juin 2023. D'un point de vue opérationnel, elle présente de nombreuses similitudes avec les variantes pour Windows et IBM AIX.

Le fonctionnement de FASTCash pour Linux

Ce malware prend la forme d'une bibliothèque injectée dans un serveur de paiement, qui intercepte les communications entre les DAB/terminaux de paiement et les banques. Il manipule les messages de transactions ISO8583 en remplaçant les refus pour insuffisance de fonds par des acceptations, afin de dérober de l'argent. Ainsi, les pirates n'ont qu'à demander de l'argent afin que la transaction soit acceptée, même s'il n'y a pas assez de fond : une technique de braquage bien particulière !

Le rapport de HaxRob illustre bien ce procédé :

Fonctionnement malware FASTCash
Source : DoubleAgent.net



Le malware FASTCash manipule les messages de transaction en ajoutant un montant aléatoire compris entre 12 000 et 30 000 livres turques, soit entre 321 et 800 euros, pour autoriser des retraits frauduleux. Une fois approuvée par la banque, un complice retire l'argent à un DAB.

Jusqu'ici, la version Linux de ce malware n'était pas détectée sur VirusTotal, ce qui permettait aux hackers d'agir discrètement... Même s'il y a désormais une version pour Linux, cela n'empêche pas les cybercriminels de faire évoluer les autres versions. En effet, en septembre 2024, une nouvelle version de FASTCash pour Windows a été découverte : cela prouve que les pirates améliorent continuellement leurs outils.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.