FASTCash：Linux 系统出现新变种，可从 ATM 机上取款

FASTCash是一款由朝鲜组织发起的恶意软件，利用针对 Linux 系统的新变种再次发起攻击。该恶意软件安装在受感染网络内的支付交换机中，允许攻击者在未经 ATM 授权的情况下提取现金。

该恶意软件于 2019 年首次检测到，仅影响 IBM AIX 和 Windows 系统；该 Linux 变种由安全研究人员haxrob于 2023 年 6 月发现 ，但现在才为公众所知。研究人员表示，Linux 和 Windows 变体都会影响同一国家的相同支付基础设施或类似基础设施。

与 Windows 前身相比， Linux变体的功能略有减少，但仍然保留了一个关键功能：拦截预定义的持卡人帐号列表的拒绝交易（刷卡）消息，然后使用土耳其语中的随机金额授权交易。里拉货币，”通缉犯解释道。

FASTCash 以共享库的形式实现，该共享库被注入到 Linux 支付交换机上运行的进程中，即柜员与银行中央系统之间的中介。目标是拦截源自交易的数据包，特别是那些因资金不足而导致付款被拒绝的数据包，并用批准消息替换它们。

此时，攻击者在批准消息中输入要提取的金额（通常在12,000至30,000土耳其里拉之间）后，成功从ATM机提取资金。

Haxrob 指出，在发现该变种时，VirusTotal 上没有关于该恶意软件的警告。“ Linux 变体的发现进一步凸显了对足够检测能力的需求，而 Linux 服务器环境中通常缺乏这种能力。”

CISA 还提供了防止这些攻击的指南，其中包括实施借记卡的芯片和 PIN 要求、验证持卡人身份验证代码以及使用加密技术来验证操作的响应授权。