Fastcash: Linux-Malware lässt Angreifer Geldautomaten plündern
Die auf Zahlungssysteme von Finanzinstituten abzielende Schadsoftware Fastcash ist schon seit Jahren bekannt. Ein Sicherheitsforscher hat jedoch eine neue Variante entdeckt(öffnet im neuen Fenster) , die auf Linux-Systeme ausgerichtet ist, wohingegen frühere Fastcash-Varianten nur für den Einsatz auf Windows sowie auf den Unix-basierten AIX-Systemen von IBM vorgesehen waren. Die Malware ermöglicht es Angreifern, an Geldautomaten unberechtigt Bargeld abzuheben.
Nach Angaben des unter dem Pseudonym Haxrob auftretenden Sicherheitsforschers wurde die von ihm entdeckte Fastcash-Variante für Ubuntu 22.04 kompiliert. Auf Virustotal tauchte die Linux-Malware demnach erstmals im Juni 2023 auf(öffnet im neuen Fenster) . Der Code verfügt laut Haxrob über einige Ähnlichkeiten zu jenem der Windows-Variante von Fastcash.
Die US-Cybersicherheitsbehörde CISA schrieb Fastcash in einer Meldung aus dem Jahr 2020(öffnet im neuen Fenster) einer nordkoreanischen Hackergruppe namens Beagleboyz zu, die angeblich einer größeren Gruppierung namens Hidden Cobra angehört. Damals wies die Behörde auch auf mögliche Verbindungen zur berühmten Hackergruppe Lazarus (APT38) hin. Frühere Varianten der Fastcash-Malware sind demnach schon mindestens seit 2016 im Einsatz.
Malware manipuliert Transaktionsnachrichten
Ziel der Angreifer hinter Fastcash ist es, mit der Malware spezielle Switches zu infiltrieren, die Geldautomaten mit der zentralen Netzwerkinfrastruktur der jeweiligen Finanzinstitute verbinden, und dort anschließend Transaktionsnachrichten zu manipulieren. Konkret geht es dabei um Nachrichten gemäß ISO 8583 - einem Standard, der festlegt, wie kartenbasierte Zahlungstransaktionen zwischen Computersystemen ausgetauscht werden.
Laut Bleeping Computer(öffnet im neuen Fenster) zielt Fastcash primär auf solche Nachrichten ab, die die Ablehnung von Transaktionen aufgrund unzureichender Kontodeckung betreffen. Normalerweise abgelehnte Transaktionen würden durch den Eingriff der Malware genehmigt, heißt es. Anschließend sei es den Angreifern oder einer von ihnen beauftragten Person möglich, einem Geldautomaten unrechtmäßig Bargeld zu entnehmen.
Weitere technische Details zu Fastcash und insbesondere der neuen Linux-Variante sind einem Blogbeitrag von Haxrob(öffnet im neuen Fenster) zu entnehmen. Wie der Forscher darin erklärt, arbeiten die Varianten für Linux und Windows jeweils in der Währung Türkische Lira, wohingegen bei der AIX-Variante die Indische Rupie im Vordergrund steht. Die Angreifer scheinen auch die Windows-Variante noch aktiv weiterzuentwickeln. Eine neue Version davon ist erst im September 2024(öffnet im neuen Fenster) auf Virustotal aufgetaucht.