Mga mananaliksik na nakakakita ng malalaking cyberfraud operation na naka-target sa mga kustomer ng bangko sa Australia

Mga mananaliksik ng seguridad mula sa Russian cybercrime investigations firm Ang Group-IB ay nagbukas ng cyberfraud operation na gumagamit ng espesyal na pinansiyal na malware upang i-target ang mga customer ng ilang mga pangunahing Australian bank., karamihan sa mga ito ay kabilang sa mga gumagamit ng Australia, ay nahawaan ng malware na ito mula pa noong 2012 at idinagdag sa isang botnet na tinutukoy ng mga mananaliksik ng Group-IB na "Kangaroo" o "Kangoo," pagkatapos ng isang kangaroo logo na ginamit sa command-and-control interface ng server, si Andrey Komarov, ang pinuno ng mga internasyonal na proyekto sa Group-IB, sinabi Miyerkules sa pamamagitan ng email.

Ang malware ay isang binagong bersyon ng Carberp, isang pinansiyal na programa ng Trojan na sa ngayon ay ginamit nang una laban sa mga gumagamit ng Internet banking mula sa mga bansang nagsasalita ng Ruso. Sa katunayan, ang parehong Carberp variant ay ginagamit bilang bahagi ng isang iba't ibang mga operasyon na nagta-target sa mga customer ng Sberbank sa Russia, sinabi ni Komarov.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Tulad ng karamihan ng pinansiyal na Trojan Mga programa, Sinusuportahan ni Carberp ang paggamit ng "Web injects" -mga espesyal na mga script na nagsasabi sa malware kung paano makipag-ugnayan sa partikular na mga website ng online banking. Ang mga script na ito ay nagbibigay-daan sa mga pag-atake ng mga pag-atake sa aktibong online banking session ng biktima, simulan ang pusong paglilipat, itago ang mga balanse ng account at ipakita ang mga salungat na porma at mga mensahe na nagmumula sa bangko.

Ang variant ng Carberp na nagta-target sa mga gumagamit ng Australia ay naglalaman ng Web injects para sa Internet mga website ng pagbabangko ng Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank at ANZ. Ang malware ay may kakayahang pag-hijack sa destination ng mga paglilipat ng pera sa real time at gumagamit ng mga tukoy na limitasyon sa paglilipat upang maiwasan ang pagtataas ng mga pulang bandila, sinabi ni Komarov.

Group-IB ay naniniwala na ang mga cybercriminal na nasa likod ng operasyong ito ay matatagpuan sa dating mga estado ng Unyong Sobyet. Gayunpaman, ang grupo ay may mga kontak sa mga serbisyo ng mule ng pera sa Australya pati na rin ang sarili nitong "corporate drops" -ang mga account sa bangko na nakarehistro sa sham negosyo-sa bansa, sinabi ni Komarov.

Ang mga sumasalakay ay lumikha ng libu-libong mga pahina sa Web na pinagsama sa mga termino mula sa ang industriya ng pagbabangko na lumilitaw sa ibang pagkakataon sa mga resulta ng paghahanap sa Web para sa mga tukoy na keyword, isang pamamaraan na kilala bilang itim na sumbrero na search engine optimization, sinabi ni Komarov. Ang mga gumagamit na bumibisita sa mga pahinang ito ay na-redirect sa mga pag-atake ng mga site na pinupuntahan ng host para sa mga kahinaan sa mga plug-in ng browser tulad ng Java, Flash Player, Adobe Reader at iba pa.

Ang bilang ng 150,000 nahawaang mga computer ay hindi ang bilang ng kasalukuyang aktibo ang mga kliyente ng botnet, ngunit isang makasaysayang bilang ng mga natatanging impeksyon mula noong 2012 na natipon mula sa command at control server ng botnet, sinabi ni Komarov. Gayundin, hindi lahat ng mga gumagamit ng apektadong aktwal na gumagamit ng online banking, sinabi niya. Ang rate ay humigit-kumulang isa sa bawat tatlong biktima, tinatantya.

Group-IB ay nagsabi na ito ay nagtatrabaho sa mga naka-target na bangko at ibinahagi ang impormasyon na natipon mula sa utos ng botnet at kontrol ng server sa kanila, kasama ang nakompromiso mga kredensyal ng account at Mga address ng Internet Protocol ng mga nahawaang computer.