One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8599903 |
| Date de publication | 2024-10-18 20:59:53 (vue: 2024-10-18 21:16:08) |
| Titre | New FASTCash malware Linux variant helps steal money from ATMs |
| Texte | ## Instantané Le chercheur en sécurité Haxrob, de DoubleAgent \ [. \] Net, rapporte sur une nouvelle variante Linux du malware "Switch" de paiement "FastCash, que les pirates nord-coréens utilisent pour exécuter des retraits de trésorerie ATM non autorisés. ## Description Cette variante de logiciels malveillants cible spécifiquement les distributions LTS Ubuntu 22.04.La variante Linux a une fonctionnalité légèrement réduite par rapport à son [prédécesseur Windows] (https://security.microsoft.com/intel-explorer/articles/c9730cb6), bien qu'il conserve toujours des fonctionnalités clés: il manipule les messages de transaction ISO8583, intercevant les transactions décliées:Messages pour une liste prédéfinie des numéros de compte Holder de carte, puis autorise la transaction avec un montant aléatoire de fonds dans la monnaie de la LIRA turque.Les transactions frauduleuses sont ensuite approuvées par les systèmes centraux de la banque, et les espèces sont retirées par des mules monétaires.Le logiciel malveillant est implémenté en tant que bibliothèque partagée à injecter dans un processus en cours d'exécution existant en utilisant l'appel système \\ 'ptrace, \' pour s'accrocher au système d'exploitation. [En 2018] (https://www.cisa.gov/news-events/alerts/2018/10/02/hidden-cobra-fastcash-campaign), CISA a attribué \\ 'Fastcash \' à l'État nord-coréen-Poule de piratage soutenu connu sous le nom de \\ 'Hidden Cobra, \' suivi par Microsoft sous le nom de [Citrine Sleet] (https: // Security.microsoft.com/intel-profiles/740afa51582ebef367a7120efe99a535ba803f2169356580369a0fd680137145).Puis [en 2020] (https://security.microsoft.com/intel-explorer/articles / 7596262c), cisa lié \\ 'Fastcash 2.0 \' à \\ 'beagleboyz, \' a déclaré représenter un sous-ensemble d'activité de Cobra \\ cachée.Selon CISA Partners, le programme FastCash est en activité depuis au moins 2016 et est responsable du vol de dizaines de millions de dollars par incident dans plus de 30 pays ou plus. ## Recommandations Microsoft recommande de définir les préférences de Microsoft Defender pour le point de terminaison sur Linux.Les fonctionnalités de capteur supplémentaires avancées peuvent être configurées pour [surveiller les événements PTRACE] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences). DoubleAgent \ [. \] Net fournit les recommandations suivantes: - Implémentez les exigences de puce et PIN pour les cartes de débit. - Exiger et vérifier les codes d'authentification des messages sur les messages de réponse de la demande financière de l'émetteur. - Effectuer la validation des cryptogrammes de réponse d'autorisation pour les transactions ChIP et PIN. - Voir les recommandations de CISA \\ [ici] (https://www.cisa.gov/news-events/cyBersecurity-Advisories / AA20-239A). ## Détections / requêtes de chasse ### Microsoft Defender Antivirus - [Trojan: Unix / FastCash] (https://www.microsoft.com/en-us/wdsi/thREATS / MALWARE-ENCYCLOPEDIA-DESCRIPTION? Name = Trojan: Unix / FastCash.B! RFN) ## références [La variante de la nouvelle variante FastCash Malware Linux aide à voler de l'argent aux distributeurs automatiques de guichets] (https://www.bleepingcomputer.com/news/security/new-fastcash-malware-inux-variant-helps-teal-money-from-atms/).Bleeping Computer (2024-10-17) [FastCash pour Linux] (https://doubleageent.net/fastcash-for-inux/).DoubleAgent (2024-10-17) [MAR-10257062-1.v2 - Outil d'accès à distance nord-coréen: FastCash pour Windows] (https://sip.security.microsoft.com/intel-explorer/articles/c9730cb6).Microsoft (2024-10-17) [Hidden Cobra & # 8211;FastCash Campaign] (HTtps: //www.cisa.gov/news-events/alerts/2018/10/02/hidden-cobra-fastcash-campaign).CISA (2024-10-17) [Fastcash 2.0: les banques de volets Beagleboyz de la Corée du Nord \\currity.microsoft.com/intel-explorer/articles/7596262c).Microsoft (2024-10-17) ## Copyright **&copie;Microsoft 2024 **.T |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 10257062 2016 2018 2020 2024 2024** 239a access according account across activity advanced advisories/aa20 all although amount antivirus any approved are atm atms atms/ attributed authentication authorization authorizes backed bank banks beagleboyz been bleeping bleepingcomputer call campaign card cards cash central chip cisa citrine cobra codes com/en com/intel com/news/security/new compared computer configured content copyright countries cryptogram currency debit declined defender description detections/hunting distribution distributions dollars doubleagent encyclopedia endpoint endpoint/linux events events/alerts/2018/10/02/hidden events/cybersecurity execute existing explorer/articles/7596262c explorer/articles/c9730cb6 fastcash features financial following fraudulent from functionality functionality: funds gov/news group hackers hacking has haxrob helps here hidden holder hook https://doubleagent https://learn https://security https://sip https://www implement implemented incident injected intercepting iso8583 issuer its key known korea korean least library linked linux linux/ lira list lts malware manipulates mar may message messages microsoft millions money monitor more mules name=trojan:unix/fastcash net net/fastcash new north numbers operating operation over part partners payment per perform permission pin predecessor predefined preferences process profiles/740afa51582ebef367a7120efe99a535ba803f2169356580369a0fd680137145 prohibited provides ptrace queries random recommendations recommendations: recommendations recommends reduced references remote reports represent reproduction request require requirements researcher reserved response responsible retains rfn rights robbing running said scheme security sensor setting shared since site sleet slightly snapshot specifically state steal stealing subset supplementary switch system systems targets tens then thereof tool: tracked transaction transactions trojan:unix/fastcash turkish ubuntu unauthorized us/defender us/wdsi/threats/malware using utilizing validation variant verify view which windows withdrawals withdrawn without written |
| Tags | Malware Tool |
| Stories | APT 38 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.