Atores de ameaça norte-coreanos foram identificados utilizando uma variante do malware FASTCash voltada para o sistema Linux, com o objetivo de roubar fundos em uma campanha motivada financeiramente. O malware foi instalado em switches de pagamento dentro de redes comprometidas, permitindo saques não autorizados de caixas eletrônicos (ATMs), segundo o pesquisador de segurança HaxRob. O FASTCash foi documentado pela primeira vez pelo governo dos EUA em outubro de 2018, sendo atribuído a adversários ligados à Coreia do Norte.

O esquema de “cashout” (saque em massa) de ATMs já vinha sendo utilizado para atacar bancos na África e na Ásia desde 2016. Esse esquema envolve a violação remota de servidores de aplicativos de switches de pagamento, facilitando transações fraudulentas para autorizar saques em massa. A variante Linux foi identificada pela primeira vez na plataforma VirusTotal em junho de 2023.

O malware aparece como um objeto compartilhado chamado “libMyFc.so”, compilado para o Ubuntu Linux 20.04, e tem como objetivo interceptar e modificar mensagens de transações ISO 8583, usadas para o processamento de cartões de débito e crédito. Isso permite que transações recusadas por falta de fundos sejam aprovadas, facilitando saques fraudulentos.

A descoberta dessa nova variante para Linux ressalta a necessidade de aprimorar as capacidades de detecção, que muitas vezes são insuficientes em ambientes de servidores Linux. A falta de proteção adequada em tais sistemas pode aumentar a vulnerabilidade a esses tipos de ataques.