ATM rootkit

Caketap è il rootkit Unix che ruba i dati bancari dai bancomat

La scoperta del nuovo malware Caketap è avvenuta durante le investigazioni sull’attività del gruppo criminale LightBasin, noto come UNC1945. Ecco lo schema di un attacco in grado di effettuare prelievi non autorizzati dai bancomat

21 Mar 2022
C
Mirella Castigli

Giornalista

Si chiama Caketap il nuovo rootkit Unix che i cyber criminali stanno sfruttando per rubare dati bancari dai bancomat. La sua scoperta è avvenuta mentre i ricercatori di Mandiant investigavano sull’attività del gruppo di cybercrime LightBasin, noto anche come UNC1945.

“Il ritrovamento del rootkit Unix Caketap ci fornisce alcune preziose indicazioni. In particolare, due”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Chi è LightBasin aka UNC1945

Ecco la prima preziosa indicazione che ci fornisce Caketap. “Il gruppo criminale tracciato come LightBasin (aka UNC1945)”, sottolinea Paganini, “continua a evolvere palesandosi come uno degli attori più sofisticati nell’attuale panorama delle minacce. Il gruppo di origine cinese, la cui attività è nota dal 2016, ha mostrato grandi capacità tecniche che gli hanno consentito di colpire operatori mobile come istituzioni finanziarie di tutto il mondo”.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Secondo i ricercatori di CrowdStrike, Caketap ha già compromesso fino a 13 società di telecomunicazioni dal 2019.

L’attore cyber crime compie intrusioni che richiedono “un grado di OPSEC e la possibilità di sfruttare sia il malware pubblico che quello privato, utility e script per rimuovere le prove e ostacolare sforzi di risposta”, hanno illustrato i ricercatori di Mandiant in un nuovo report pubblicato nel corso della settimana.

Cos’è Caketap, il rootkit Unix dei bancomat

La seconda utile informazione che rivela Caketap è la seguente. Continua Paganini: “È un rootkit, pertanto un malware estremamente evasivo, sviluppato per intercettare numeri di carte di credito e PIN da ATM switch servers precedentemente compromessi. La minaccia si distingue per l’elevata capacità di evasione. È molto probabile che il gruppo finanziariamente motivato prenderà di mira aziende in altri settori con minacce sviluppate ad hoc ed estremamente sofisticate e difficili da individuare”.

Caketap sfrutta un set di strumenti altamenti sofisticati. Il rootkit mette nel mirino i sistemi Oracle Solaris con l’obiettivo di compromettere gli switching network dei bancomat.

Attraverso l’attacco agli Automatic Teller Machine (ATM), il rootkit Unix permette di effettuare prelievi fraudolenti dai bancomat, operazioni senza autorizzazione, presso differenti banche usando carte di credito fasulle.

Il vettore d’attacco

Caketap è in grado di nascondere connessioni di rete, processi e file. Mandiant, che è stata in grado di effettuare memory recovery dei dati forensi da uno switch server di un bancomat vittima, ha notato che una variante del kernel rootkit possiede:

  • funzionalità specializzate che intercettano messaggi di verifica di carte di credito e PIN;
  • usano i dati trafugati per effettuare prelievi fraudulenti dai terminali dei bancomat.

Inoltre, usano due backdoor come Slapstick e TinyShell, attribuiti a UNC1945 e impiegati per ottenere accesso remoto persistente a sistemi mission-critical ed esecuzioni shell e trasferimenti di file via rlogin, telnet o SSH.

La catena d’attacco

L’attacco sta utilizzando una varietà di malware e utilities disponibili pubblicamente. Ecco lo schema:

  • SteelHound: una variante dell’in-memory droppe SteelCorgi è utilizzata per decrittare payload embedded e crittografare nuovi binari;
  • WingHook: un keylogger per sistemi operativi basati su Linux e Unix che cattura i dati in un formato codificato;
  • WingCrack: una utility per analizzare i contenuti codificati generati da WingHook;
  • Wiperight: una utility ELF che cancella log entries riguardanti utenti specifici su sistemi dotati di Linux e Unix Os;
  • MigLogCleaner: una utility ELF che ripulisce i log o rimuove certe stringhe dai log su stemi equipaggiati con Linux e Unix.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5