Forskere afdækker stor cyberfraud-operationer rettet mod australske bankkunder

Sikkerhedsforskere fra det russiske internetkriminalitetsundersøgelser firm Group-IB har afdækket en cyberfraud-operation, der bruger specialiseret finansiel malware til at målrette mod kunder fra flere store australske banker.

Over 150.000 computere, de fleste af dem tilhører australske brugere, er blevet smittet med denne malware siden 2012 og blev tilføjet til et botnet, at Group-IB forskere har kaldt "Kangaroo" eller "Kangoo" efter et kangaroo-logo, der bruges på kommando- og kontrol server interface, Andrey Komarov, leder af internationale projekter på Group-IB, sagde onsdag via email.

Malware er en modificeret version af Carberp, et finansielt trojanske program, der hidtil primært er brugt til internetbankbrugere fra russisktalende lande. Faktisk anvendes den samme Carberp-variant som en del af en anden operation, der retter sig mod Sberbank-kunder i Rusland, siger Komarov.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Som størstedelen af ​​de finansielle trojaner programmer understøtter Carberp brugen af ​​"Webinjects" -specifikke scripts, der fortæller malware, hvordan man interagerer med bestemte internetbankwebsites. Disse scripts tillader angriberne at piggyback på offerets aktive online banking session, igangsætte skurk overførsler, skjule kontosaldi og vise skurkede former og meddelelser, der ser ud til at stamme fra banken.

Den Carberp-variant, der retter sig mod australske brugere, indeholder webindsprøjtninger til internettet bankwebsteder af Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank og ANZ. Malware er i stand til at kapre destinationen for pengeoverførsler i realtid og bruger specifikke overførselsgrænser for at undgå at øge røde flag, sagde Komarov.

Group-IB mener, at de cyberkriminelle bag denne operation er placeret i tidligere Sovjetunionen. Men koncernen har kontakter med penge muldyrtjenester i Australien samt sine egne "corporate drops" -bankregnskaber, der er registreret til sham-virksomheder. I landet udtalte Komarov.

Angriberne skaber tusindvis af websider, der er slået sammen med vilkår fra banksektoren, der senere vises i websøgningsresultater til specifikke søgeord, en teknik kendt som sort hat søgemaskine optimering, sagde Komarov. Brugere, der besøger disse sider, bliver omdirigeret til at angribe websteder, som værten udnytter for sårbarheder i browserprogrammer som Java, Flash Player, Adobe Reader og andre.

Antallet af 150.000 inficerede computere er ikke antallet af aktive brugere botnet klienter, men et historisk antal unikke infektioner siden 2012 samlet fra botnet's kommando- og kontrolserver, sagde Komarov. Også ikke alle berørte brugere bruger faktisk online banking, sagde han. Satsen er omtrent en ud af hvert tre ofre, skønnes han.

Group-IB sagde, at den arbejder med de målrettede banker og har delet oplysningerne fra botnet's kommando- og kontrolserver med dem, herunder kompromitterede kontooplysninger og Internet Protocol adresser på de inficerede computere.