Kelompok peretas Lazarus menggunakan malware untuk melakukan pembobolan. Hal ini ditemukan berdasarkan penelitian perusahaan keamanan siber Symantec.
Penyerang menggunakan skrip untuk memanipulasi software yang asli di server yang memungkinkan kegiatan penipuan. Peneliti Symantec menamakan malware ini Trojan.Fastcash. Malware ini memiliki dua fungsi.
Pertama, memantau pesan masuk dan memotong permintaan transaksi penipuan yang dihasilkan penyerang untuk mencegah mereka mencapai aplikasi switch yang memproses transaksi.
Kedua, malware ini berisi logika yang menghasilkan salah satu dari tiga respon rekayasa terhadap permintaan transaksi palsu. Setelah terpasang di server, Trojan.Fastcash akan membaca semua lalu lintas jaringan yang masuk.
Malware kemudian memindai pesan permintaan ISO 8583 yang masuk. ISO 8583 adalah standar untuk pesan transaksi keuangan.
Malware ini akan membaca Nomor Rekening Primer (Primer Account Number/PAN) pada semua pesan. Jika menemukan ada yang berisi nomor PAN yang digunakan oleh penyerang, maka malware tersebut akan memblokir pesan agar tak melangkah lebih jauh ke aplikasi switch yang menyetujui atau menolak permintaan penarikan.
Malware ini kemudian akan mengirimkan pesan tanggapan rekayasa yang menyetujui permintaan penarikan palsu. Alhasil, upaya untuk menarik uang tunai melalui ATM oleh penyerang Lazarus pun akan mendapat persetujuan
Symantec telah menemukan beberapa varian Trojan.Fastcash, yang masing-masing menggunakan logika respon yang berbeda. Symantec meyakini setiap varian disesuaikan dengan jaringan pemrosesan transaksi tertentu.
Menurut laporan US-CERT, sebagian besar akun yang digunakan peretas untuk memulai transaksi adalah minimal aktivitas transaksi.
Cara penyerang menguasai akun-akun ini masih belum jelas. Ada kemungkinan para penyerang membuka akun itu sendiri dan membuat permintaan penarikan dengan kartu yang dikeluarkan untuk akun tersebut.
Kemungkinan lain adalah para penyerang menggunakan kartu yang dicuri untuk melakukan serangan. Lazarus adalah kelompok yang sangat aktif yang terlibat dalam kejahatan siber dan spionase.
Lazarus pada awalnya terkenal karena terlibat dalam operasi spionase dan sejumlah serangan yang menyasar beberapa perusahaan terkemuka. Pada 2014, Sony Pictures dibobol dan dicuri sejumlah besar informasi.
Dalam beberapa tahun terakhir, Lazarus juga terlibat dalam serangan ke berbagai bank di seluruh dunia. Kelompok ini dikaitkan dengan pencurian uang sebesar US$81 juta dari bank sentral Bangladesh pada 2016.
Lazarus juga dikaitkan dengan wabah ransomware wannaCry yang terjadi pada Mei 2017.