Tujuan dari eksekusi ini belum pernah didokumentasikan sebelumnya.  Sebelumnya diyakini bahwa penyerang menggunakan skrip untuk memanipulasi software yang asli di server untuk memungkinkan kegiatan penipuan.

Namun, analisis Symantec telah menemukan bahwa eksekusi ini sebenarnya adalah malware, yang kami namakan Trojan.Fastcash. Trojan.Fastcash memiliki dua fungsi utama:

Memantau pesan masuk dan memotong permintaan transaksi penipuan yang dihasilkan penyerang untuk mencegah mereka mencapai aplikasi switch yang memproses transaksi.

Baca: 318.000 Pengguna Android Diserang Trojan Svpeng via Google Adsense

Berisi logika yang menghasilkan salah satu dari tiga respon rekayasa terhadap permintaan transaksi palsu.

Setelah terinstal di server, Trojan.Fastcash akan membaca semua lalu lintas jaringan yang masuk, yang memindai pesan permintaan ISO 8583 yang masuk.

Malware ini akan membaca Nomor Rekening Primer (PAN) pada semua pesan dan jika menemukan ada yang berisi nomor PAN yang digunakan penyerang di mana Indikator Jenis Pesan (MTI) adalah "0x100 Permintaan Otorisasi dari Acquirer", malware tersebut akan memblokir pesan agar tak melangkah lebih jauh.

Malware ini kemudian akan mengirimkan pesan tanggapan rekayasa yang menyetujui permintaan penarikan palsu. Alhasil, upaya untuk menarik uang tunai melalui ATM oleh penyerang Lazarus pun akan mendapat persetujuan.

Berikut adalah salah satu contoh logika respon yang digunakan Trojan.Fastcash untuk menghasilkan respon palsu. Sampel khusus ini memiliki logika untuk membuat satu dari tiga tanggapan rekayasa berdasarkan permintaan dari penyerang yang masuk:

Untuk Indikator Jenis Pesan == 200 (Transaksi ATM) dan Mode Titik Masuk Layanan dimulai dengan 90 (hanya Jalur Magnetik):

Jika Kode Pemrosesan dimulai dengan 3 (Pertanyaan Saldo):

Kode Respons = 00 (Disetujui)

Jika tidak, jika Nomor Akun Utama masuk daftar hitam oleh Penyerang:

Kode Jawaban = 55 (PIN Tidak Valid)

Semua Kode Pemrosesan lainnya (dengan PAN yang tidak masuk daftar hitam):