Penyerang menggunakan skrip untuk memanipulasi software yang asli di server yang memungkinkan kegiatan penipuan. Peneliti Symantec menamakan malware ini Trojan.Fastcash. Malware ini memiliki dua fungsi.
Pertama, memantau pesan masuk dan memotong permintaan transaksi penipuan yang dihasilkan penyerang untuk mencegah mereka mencapai aplikasi switch yang memproses transaksi.
Kedua, malware ini berisi logika yang menghasilkan salah satu dari tiga respon rekayasa terhadap permintaan transaksi palsu. Setelah terpasang di server, Trojan.Fastcash akan membaca semua lalu lintas jaringan yang masuk.
Malware ini akan membaca Nomor Rekening Primer (Primer Account Number/PAN) pada semua pesan. Jika menemukan ada yang berisi nomor PAN yang digunakan oleh penyerang, maka malware tersebut akan memblokir pesan agar tak melangkah lebih jauh ke aplikasi switch yang menyetujui atau menolak permintaan penarikan.
Malware ini kemudian akan mengirimkan pesan tanggapan rekayasa yang menyetujui permintaan penarikan palsu. Alhasil, upaya untuk menarik uang tunai melalui ATM oleh penyerang Lazarus pun akan mendapat persetujuan.
Menurut laporan US-CERT, sebagian besar akun yang digunakan peretas untuk memulai transaksi adalah minimal aktivitas transaksi.
Cara penyerang menguasai akun-akun ini masih belum jelas. Ada kemungkinan para penyerang membuka akun itu sendiri dan membuat permintaan penarikan dengan kartu yang dikeluarkan untuk akun tersebut.
Kemungkinan lain adalah para penyerang menggunakan kartu yang dicuri untuk melakukan serangan. Lazarus adalah kelompok yang sangat aktif yang terlibat dalam kejahatan siber dan spionase.
Dalam beberapa tahun terakhir, Lazarus juga terlibat dalam serangan ke berbagai bank di seluruh dunia. Kelompok ini dikaitkan dengan pencurian uang sebesar US$81 juta dari bank sentral Bangladesh pada 2016.
Lazarus juga dikaitkan dengan wabah ransomware wannaCry yang terjadi pada Mei 2017. (jnp)
from CNN Indonesia kalo berita gak lengkap buka link di samping https://ift.tt/2JZuCy4
No comments:
Post a Comment