O componente-chave usado utilizado nos ataques do grupo Lazarus a instituições financeiras na Ásia e na África foi descoberto por pesquisadores da Symantec no dia 2 de Novembro. É o Trojan.Fastcash, um malware até agora desconhecido, e que é implantado nos servidores de switch dos bancos. É isso que permite roubos com o que aconteceu com o Cosmos Bank, da Índia, e com varios outros bancos desses dois continentes: com o malware implantado, todos os pedidos de autenticação dos caixas automáticos enviados pelos bandidos são liberados pelo trojan (veja infográfico com o esquema).
[box type=”info” style=”rounded” border=”full”] O grupo Lazarus, conhecido também com Hidden Cobra pela inteligência dos EUA e supostamente a serviço do governo da Coreia do Norte, foi inicialmente identificado em operações de inteligência e ataques pesados, incluindo o de 2014 à Sony Entertainment. O Lazarus, segundo as investigações, também está envolvido em ataques como o roubo de US $ 81 milhões do Banco Central de Bangladesh e no ataque do ransomware com o WannaCry em Maio de 2017.[/box]
De acordo com o alerta do CERT americano, um incidente em 2017 registrou retiradas simultâneas de dinheiro em caixas eletrônicos de 30 países diferentes. Em outro grande incidente em 2018, o dinheiro foi retirado de caixas eletrônicos em 23 países. Estima-se que a operação FASTCash do Lazarus tenha roubado dezenas de milhões de dólares.
A investigação da Symantec indica que para permitir as retiradas, os invasores injetam no servidor de switch um executável AIX (Advanced Interactive eXecutive), em um processo legítimo que esteja rodando ali. O executável contém a lógica para se comunicar com mensagens ISO 8583 fraudulentas (o ISO 8583 é o padrão para mensagens de transações financeiras). A finalidade deste executável, diz a Symantec, não havia sido documentada anteriormente. Acreditava-se, antes, que os invasores usavam scripts para manipular software legítimo no servidor, para assim acionar a atividade fraudulenta.
O Trojan.Fastcash tem duas funções principais segundo as investigações da empresa:
- Ele monitora mensagens recebidas e intercepta as solicitações de transações fraudulentas geradas pelos criminosos, para impedir que elas cheguem ao aplicativo de switch que processa transações.
- Ele contém a lógica que gera uma das três possíveis respostas a solicitações de transações fraudulentas
“Depois de instalado, o Trojan.Fastcash lê todo o tráfego de entrada, procurando mensagens de solicitação ISO 8583. Vai ler o Número da Conta Principal (PAN) em todas as mensagens e, se encontrar algum contendo um número PAN usado pelos invasores, o malware irá modificar essas mensagens. O modo pelo qual são modificadas depende de cada organização atacada. Em seguida, o malware transmitirá para o caixa automático a mensagem de resposta falsa, aprovando as solicitações de retirada”, acrescenta o documento da Symantec.