详细内容或原文请订阅后点击阅览
朝鲜黑客使用新发现的 Linux恶意软件袭击 ATM 机
无
来源:Packet Storm _恶意软件恶意软件位于连接发行域和收购域的银行间交换机的用户空间部分中。当使用折衷的卡进行欺诈性翻译时,FastCash的设计机带有交换机从发行者接收到的消息,然后再将其转移回商家银行。结果,拒绝交易的发行人消息将更改为批准。
以下图说明了FastCash的工作方式:
选择用于定位ISO 8583(金融交易的消息传递标准)的运行错误配置实现的开关。错误的配置可以阻止消息身份验证机制,例如规范中定义的字段64使用的机制,无法工作。结果,FastCash创建的篡改消息未被发现为欺诈。
ISO 8583“ FastCash恶意软件目标是在特定的中间主机上ISO8583消息的系统,在该系统中,确保丢失消息完整性的安全机制,因此可以被篡改。” Haxrob写道。 “如果消息受到完整性的保护,诸如DE64之类的字段可能包括MAC(消息身份验证代码)。由于标准未定义算法,因此MAC算法是特定于实现的。”
研究人员继续解释:
FastCash恶意软件在网络中的一个点修改了交易消息,篡改不会导致上游或下游系统拒绝该消息。可行的拦截位置将是将ATM/POS消息从一种格式转换为另一种格式的地方(例如,专有协议与ISO8583消息的其他某些其他形式之间的接口),或者在该消息中通过在交换机中运行的进程完成了对消息的其他一些修改。
HAXROB报告提供了加密哈希,用于跟踪新发现的Linux版本的两个样本和一些新发现的Windows FastCash样本。