A kutatók felderítik az ausztrál bankügyfeleknek szóló nagy cyberfraud műveletet

Az orosz számítógépes bűnözéssel foglalkozó, a "Group-IB" cég biztonsági kutatói felfedeztek egy cyberfraud műveletet, amely speciális pénzügyi kártevőket használ, hogy több ausztrál bank bankjait célozza meg.

Több mint 150 000 számítógép, amelyek többsége az ausztrál felhasználókhoz tartozik, 2012 óta fertőzöttek ezzel a kártékony programmal, és hozzáadták egy olyan botnethez, amelyet a Group-IB kutatók "Kenguru" vagy "Kangoo" néven neveztek el egy parancsnoki és ellenőrző kenguru logó után szerver interfész, Andrey Komarov, a nemzetközi projektek vezetője a Group-IB-nél, szerdán keresztül e-mailben.

A rosszindulatú program a Carberp egy olyan pénzügyi trójai program, amelyet eddig elsősorban az orosz nyelvű országok internetes banki használói ellen használtak. Valójában ugyanazt a Carberp változatot használják egy másik művelet részeként, amely a Sberbank ügyfeleit célozza meg Oroszországban, komárom azt mondta:

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépéről]

Mint a pénzügyi trójai többsége programok, a Carberp támogatja a "webes injektumok" használatát - speciális szkripteket, amelyek elmondják a rosszindulatú programoknak, hogyan kell kapcsolatba lépni az adott online banki webhelyekkel. Ezek a szkriptek lehetővé teszik a támadók számára, hogy az áldozatok aktív online banki munkamenetén átszálljanak, kezdeményezzenek csalárd transzfereket, elrejtsék a számlák egyenlegeit és megjelenítsék a hamis űrlapokat és üzeneteket, amelyek úgy tűnik, hogy a bankból származnak.

Az ausztrál felhasználók számára célzott Carberp változat webes injektálást tartalmaz az interneten a Commonwealth Bank, a Queensland Bank, a Bendigo Bank, az Adelaide Bank és az ANZ banki oldalai. A rosszindulatú programok képesek átrepülni a pénzátutalások valós idejű célállomását, és speciális átviteli korlátokat alkalmaznak, hogy elkerüljék a piros zászlókat. "

A Group-IB úgy véli, hogy a műveletek mögött álló számítógépes bűnözők a volt Szovjetunió államaiban találhatók. Azonban a csoportnak van kapcsolata Ausztráliában a pénzmujusz szolgáltatásokkal, valamint a saját "vállalati cseppek" bankszámlákkal, amelyek regisztrálták az áldozati vállalkozásokat - az országban, Komarov mondta.

A támadók több ezer weboldalt hoznak létre, a bankszektor, amely később megjelenik a konkrét kulcsszavak webes keresési eredményeiben, egy technika, amelyet fekete kalap kereső optimalizálásnak neveznek, mondta Komarov. Azok az felhasználók, akik ezeket az oldalakat látogatják át, megtámadják azokat a webhelyeket, amelyek a böngésző plug-inek, például a Java, a Flash Player, az Adobe Reader stb. botnet ügyfelek, de a 2012-től származó egyedi fertőzések történelmi száma a botnet parancsnoki és ellenőrző szerverétől származik, mondta Komarov. Emellett nem minden érintett felhasználó használja az online banki szolgáltatást, mondta. A becslések szerint ez az arány minden három áldozatot érinti.

A Group-IB azt mondta, hogy együttműködik a célzott bankokkal, és megosztotta velük a botnet parancs- és vezérlő szervezőjével összegyűjtött információkat, beleértve a kompromisszumos hitelesítő adatokat és a Internetes protokoll címek a fertőzött számítógépeken.