Pelaku ancaman Korea Utara telah diamati menggunakan varian Linux dari keluarga malware yang disebut Uang CEPAT untuk mencuri dana sebagai bagian dari kampanye yang bermotif finansial.
Malware ini “dipasang pada saklar pembayaran dalam jaringan yang disusupi yang menangani transaksi kartu untuk memfasilitasi penarikan uang tunai tanpa izin dari ATM,” kata seorang peneliti keamanan yang dikenal dengan HaxRob.
FASTCash pertama kali didokumentasikan oleh pemerintah AS pada bulan Oktober 2018 ketika digunakan oleh musuh yang terkait dengan Korea Utara sehubungan dengan skema pembayaran ATM yang menargetkan bank-bank di Afrika dan Asia setidaknya sejak akhir tahun 2016.
“Skema FASTCash dari jarak jauh menyusupi server aplikasi peralihan pembayaran di dalam bank untuk memfasilitasi transaksi penipuan,” kata lembaga tersebut pada saat itu.
“Dalam satu insiden di tahun 2017, pelaku HIDDEN COBRA memungkinkan penarikan uang tunai secara bersamaan dari ATM yang berlokasi di lebih dari 30 negara berbeda. Dalam insiden lain di tahun 2018, pelaku HIDDEN COBRA memungkinkan penarikan uang tunai secara bersamaan dari ATM di 23 negara berbeda.”
Meskipun artefak FASTCash sebelumnya memiliki sistem yang menjalankan Microsoft Windows (termasuk yang terlihat baru-baru ini bulan lalu) dan IBM AIX, temuan terbaru menunjukkan bahwa sampel yang dirancang untuk menyusup ke sistem Linux pertama kali dikirimkan ke platform VirusTotal pada pertengahan Juni 2023.
Malware tersebut berbentuk objek bersama (“libMyFc.so”) yang dikompilasi untuk Ubuntu Linux 20.04. Ini dirancang untuk mencegat dan memodifikasi pesan transaksi ISO 8583 yang digunakan untuk pemrosesan kartu debit dan kredit guna memulai penarikan dana yang tidak sah.
Secara khusus, hal ini memerlukan manipulasi pesan transaksi yang ditolak (gesekan magnetis) karena dana tidak mencukupi untuk daftar nomor rekening pemegang kartu yang telah ditentukan sebelumnya dan menyetujui mereka untuk menarik sejumlah dana secara acak dalam Lira Turki.
Dana yang ditarik per transaksi penipuan berkisar antara 12.000 hingga 30.000 Lira ($350 hingga $875), mencerminkan artefak Windows FASTCash (“switch.dll”) yang sebelumnya dirinci oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) pada September 2020.
“[The] Penemuan varian Linux lebih jauh menekankan perlunya kemampuan deteksi yang memadai yang seringkali kurang di lingkungan server Linux,” kata peneliti.