Un nuevo malware de Linux está usándose para robar dinero de cajeros automáticos

Un nuevo malware está en circulación y pone su objetivo en los cajeros automáticos, en los que está causando estragos al permitir que los hackers roben dinero con facilidad. Se trata de una variante de Linux de un viejo conocido en cuanto a los virus que han circulado por la red en ocasiones previas.
El nombre de FASTCash ha aterrorizado a muchos especialistas en seguridad en los últimos tiempos. Ahora este malware vuelve a la carga con una nueva versión de Linux. Y su objetivo es el que ya te puedes imaginar a la vista del nombre que tiene: permitir que los hackers saquen dinero de los cajeros automáticos de los bancos sin que nadie les pueda detener. La amenaza parece que se ha originado en Corea del Norte y afecta a las distribuciones Ubuntu 22.04 LTS.
Desde 2016 robando en los cajeros
El pánico que genera FASTCash entre los profesionales no es desproporcionado. Lo cierto es que este malware lleva generando problemas desde que se detectase por primera vez en 2018, aunque los registros apuntan a que su actividad empezó a dejar huella en 2016. Y, desde el principio, los especialistas han tenido claro que hackers norcoreanos se encontraban tras el mismo, más exactamente, el grupo Hidden Cobra. Inicialmente, la amenaza se distribuyó en sistemas Windows y en IBM AIX, pero ahora ha evolucionado para hacer de las suyas también en Linux.
Según investigaciones previas, los responsables del uso de FASTCash ya habían robado más de 1,3 mil millones de dólares con ataques a cajeros automáticos de más de 30 países. Se cree que las cifras podrían ser superiores, lo que colocaría este malware como uno de los peores que hayan llegado a encontrarse las entidades financieras.
¿Cómo actúa este malware?
Antes de nada, hay que decir que, aunque existe constancia de la circulación de este virus, por ahora parece que no ha sido bloqueado. Además, los especialistas en seguridad mencionan que creen que esta encarnación de FASTCash se puede saltar los sistemas de seguridad para llegar a infectar los cajeros y seguir sacando dinero sin límites. Para comenzar, lo que necesita el virus es introducir un archivo malicioso en el servidor de cambio que se utiliza en las gestiones de pago que hacen los cajeros. Se cuela en el punto en el que el sistema del cajero automático realiza una conexión entre el núcleo del banco y el cajero. Es decir, se coloca en el medio para no ser interceptado y poder gestionar peticiones de extracciones de dinero que parezcan reales. El malware está preparado para interceptar ese tipo de mensajes que hacen los cajeros a la hora de gestionar las operaciones en el uso de tarjetas de crédito y débito.
Más exactamente, lo que hace es interceptar el mensaje de cancelación de la operación en el que el banco rechaza la petición de sacar dinero debido a que no hay fondos. En vez de permitir que el banco continúe con su comando de cancelación de operación, el malware la aprueba como si hubiera fondos en la cuenta. Eso permite que el banco reciba un mensaje con un código de autorización y que piense que la operación se está llevando a cabo de manera correcta. Por lo que mencionan los especialistas, las cantidades que se están robando en cada ocasión se encuentran entre los 350 y los 875 dólares.
El único contratiempo con el que deben contar los hackers es con que necesitan una mula que se ocupe de sacar el dinero presencialmente en el cajero automático para luego redistribuirlo a los hackers. De todas formas, lo más probable es que tengan todo organizado de manera que dispongan de varias personas que se ocupen de estas tareas. Quizá, eso sí, esa sería una forma con la cual las autoridades podrían llegar a tirar del hilo para tratar de hacer algunas detenciones.
Por lo que se comenta, aunque esta versión de Linux es la que ahora está utilizándose, hay una nueva edición para Windows que también estaría preparándose para entrar en acción. Eso complicaría las cosas todavía más para las entidades bancarias, ya que lo más probable es que los cibercriminales hayan perfeccionado el malware desde su última versión para el sistema de Microsoft.