Le malware FASTCash pour Linux utilisé pour voler de l’argent à partir des distributeurs de billets !
Des pirates nord-coréens s'appuient sur une nouvelle variante Linux du malware FASTCash pour infecter les systèmes de paiement des institutions financières dans le but d'effectuer des retraits d'argent non autorisés. Une technique utilisée depuis au moins 2016. Faisons le point.
Le chercheur en sécurité HaxRob a repéré une nouvelle variante de FASTCash, conçue pour cibler les machines sous Linux, notamment Ubuntu 22.04 LTS. Jusqu'ici, FASTCash était utilisé pour cibler les systèmes Windows et IBM AIX.
Un rapport, publié en 2018 par l'agence américaine CISA, fait le lien entre FASTCash et un groupe de pirates nord-coréens surnommé "Hidden Cobra". Ce document précise : "Depuis au moins la fin de l'année 2016, les acteurs de HIDDEN COBRA ont utilisé les tactiques de FASTCASH pour cibler des banques en Afrique et en Asie.". Les pirates seraient parvenus à voler des dizaines de millions de dollars lors d'attaques simultanées dans au moins 30 pays.
Quant à la nouvelle variante pour Linux, elle a été chargée sur VirusTotal pour la première fois en juin 2023. D'un point de vue opérationnel, elle présente de nombreuses similitudes avec les variantes pour Windows et IBM AIX.
Le fonctionnement de FASTCash pour Linux
Ce malware prend la forme d'une bibliothèque injectée dans un serveur de paiement, qui intercepte les communications entre les DAB/terminaux de paiement et les banques. Il manipule les messages de transactions ISO8583 en remplaçant les refus pour insuffisance de fonds par des acceptations, afin de dérober de l'argent. Ainsi, les pirates n'ont qu'à demander de l'argent afin que la transaction soit acceptée, même s'il n'y a pas assez de fond : une technique de braquage bien particulière !
Le rapport de HaxRob illustre bien ce procédé :
Le malware FASTCash manipule les messages de transaction en ajoutant un montant aléatoire compris entre 12 000 et 30 000 livres turques, soit entre 321 et 800 euros, pour autoriser des retraits frauduleux. Une fois approuvée par la banque, un complice retire l'argent à un DAB.
Jusqu'ici, la version Linux de ce malware n'était pas détectée sur VirusTotal, ce qui permettait aux hackers d'agir discrètement... Même s'il y a désormais une version pour Linux, cela n'empêche pas les cybercriminels de faire évoluer les autres versions. En effet, en septembre 2024, une nouvelle version de FASTCash pour Windows a été découverte : cela prouve que les pirates améliorent continuellement leurs outils.
