新的Linux变种FASTCash恶意软件：金融系统的隐秘威胁

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，网络安全研究员HaxRob揭露了一个与北朝鲜有关的全新FASTCash恶意软件变种，该变种专门针对Linux系统，特别是Ubuntu 22.04 LTS发行版。这一发现引发了对金融系统安全的广泛关注。

FASTCash恶意软件的背景

FASTCash恶意软件最早在2018年由Symantec发现，北朝鲜APT组织Lazarus利用这一恶意软件对ATM进行了系列攻击。自2016年以来，该APT组织就已利用该恶意软件，从亚洲和非洲的小型和中型银行中窃取了数百万美元。FASTCash恶意软件被用于通过处理卡交易的受损网络中的支付交换机来实现未经授权的现金提取。

Linux变种的工作原理

HaxRob的分析指出，新的Linux变种与之前的Windows和AIX变种有许多相似之处。该恶意软件作为共享库实施，利用ptrace系统调用注入到支付交换机服务器中，拦截ISO8583交易消息。具体来说，它拦截因资金不足而被拒绝的交易响应，并将其修改为“批准”，从而在ATM和POS终端上实现未经授权的交易。

该恶意软件随机生成的欺诈交易金额在12,000到30,000土耳其里拉之间，使其可以轻松绕过银行的安全系统。一旦交易消息被修改为显示批准代码和金额，银行便会授权该交易，从而使钱务代理人能够代表威胁行为者从ATM中提取现金。

金融系统的防护建议

此次Linux变种的发现进一步强调了在Linux服务器环境中所需的足够检测能力，这通常是缺乏的。为此，网络安全专家建议：

实施芯片和PIN要求的借记卡。

要求并验证发卡方财务请求响应消息上的消息认证码。

对芯片和PIN交易进行授权响应密码验证。

结语：增强警惕，守护金融安全

随着技术的进步，金融系统的安全威胁也在不断演变。用户和金融机构都应保持警惕，定期更新安全措施，加强对交易的监控与防护。同时，强化员工的网络安全意识和培训，让每个人都成为守护金融安全的第一道防线。

在这场网络安全的斗争中，预防胜于治疗。让我们共同努力，抵御来自黑客的威胁，保护我们的财富与安全！

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：新的Linux变种FASTCash恶意软件：金融系统的隐秘威胁