Naukowcy odkrywają dużą operację cyberfraud kierowaną do klientów banków australijskich

Badacze bezpieczeństwa z rosyjskiej firmy zajmującej się dochodzeniami w sprawie cyberprzestępczości Grupa-IB odkryli operację polegającą na cyberatrudni, która wykorzystuje wyspecjalizowane złośliwe oprogramowanie finansowe do kierowania klientów do kilku dużych australijskich banków.

Ponad 150 000 komputerów, większość z nich należących do australijskich użytkowników, została zainfekowana tym szkodliwym oprogramowaniem od 2012 r. i została dodana do botnetu, który badacze z grupy IB nazwali "Kangur" lub "Kangoo", po kangurowym logo używanym w sterowaniu i kontrolowaniu interfejs serwera, Andrey Komarov, szef międzynarodowych projektów w Group-IB, powiedział w środę za pośrednictwem poczty elektronicznej.

Szkodliwe oprogramowanie to zmodyfikowana wersja Carberp, trojana finansowego, który do tej pory był używany głównie przeciwko użytkownikom bankowości internetowej z krajów rosyjskojęzycznych. W rzeczywistości ten sam wariant Carberpa jest wykorzystywany jako część innej operacji skierowanej do klientów Sberbanku w Rosji, powiedział Komarov.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Podobnie jak większość finansowych trojanów programów, Carberp wspiera użycie "Web injects" - specjalnych skryptów, które informują złośliwe oprogramowanie, jak wchodzić w interakcje z określonymi witrynami bankowości internetowej. Skrypty te umożliwiają atakującym śledzenie transakcji bankowych ofiary, inicjowanie transferów nieuczciwych, ukrywanie sald kont oraz wyświetlanie fałszywych formularzy i wiadomości, które wydają się pochodzić z banku.

Wariant Carberp skierowany do użytkowników z Australii zawiera wtryski internetowe dla Internetu bankowych stron internetowych Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank i ANZ. Szkodnik jest w stanie porwać miejsce przeznaczenia przekazów pieniężnych w czasie rzeczywistym i wykorzystuje określone limity transferowe, aby uniknąć podnoszenia czerwonych flag, powiedział Komarov.

Grupa-IB uważa, że ​​cyberprzestępcy stojący za tą operacją znajdują się w państwach byłego Związku Radzieckiego. Jednak grupa ma kontakty z australijskimi serwisami pieniężnymi, a także z własnymi "korporacyjnymi upadkami" - kontami bankowymi zarejestrowanymi jako fałszywe firmy - w kraju, powiedział Komarow.

Atakujący tworzą tysiące stron internetowych z pogwałceniem terminów branża bankowa, która później pojawia się w wynikach wyszukiwania w sieci dla konkretnych słów kluczowych, technika znana jako optymalizacja pod kątem wyszukiwarek w czarnych kapeluszach, powiedział Komarow. Użytkownicy, którzy odwiedzają te strony, zostają przekierowani do witryn atakujących witryny zawierające luki w wtyczkach do przeglądarek, takich jak Java, Flash Player, Adobe Reader i inne.

Liczba 150 000 zainfekowanych komputerów nie jest liczbą aktualnie aktywnych klientów botnetu, ale historyczna liczba unikalnych infekcji od 2012 r. zebranych z serwera kontroli i kontroli botnetu, powiedział Komarov. Ponadto, nie wszyscy użytkownicy, których dotyczy ten problem, rzeczywiście korzystają z bankowości internetowej - powiedział. Szacuje się, że stawka wynosi mniej więcej jedną trzecią ofiar.

Grupa-IB stwierdziła, że ​​współpracuje z docelowymi bankami i podzieliła się informacjami zebranymi z serwera kontrolnego i kontrolnego botnetu, w tym z poświadczeniami konta i Adresy IP zainfekowanych komputerów.