Forskere avdekker stor nettverksoperasjon som målretter mot australske bankkunder

Sikkerhetsforskere fra russiske kriminalforskningsinstitusjoner, Group-IB, har avdekket en cyberfraud-operasjon som bruker spesialisert økonomisk malware til å målrette kundene til flere store australske banker.

Over 150.000 datamaskiner, de fleste av dem tilhører australske brukere, har blitt smittet med denne malware siden 2012 og ble lagt til en botnet som gruppe-IB forskere har kalt "Kangaroo" eller "Kangoo", etter en kangaroo-logo som brukes på kommandoen og kontrollen servergrensesnitt, Andrey Komarov, leder av internasjonale prosjekter på Group-IB, sa onsdag via e-post.

Malware er en modifisert versjon av Carberp, et økonomisk trojanske program som hittil har blitt brukt primært mot Internett-bankbrukere fra russisktalende land. Faktisk brukes samme Carberp-variant som en del av en annen operasjon rettet mot Sberbanks kunder i Russland, sier Komarov.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Som de fleste finansielle trojaner programmer, støtter Carberp bruk av "Web Injects" -spesifikke skript som forteller malware hvordan man samhandler med bestemte nettbanker. Disse skriptene gir angriperne mulighet til å piggyback på offerets aktive online banking-økt, igangsette skyggeoverføringer, skjule kontosaldoer og vise skurkede skjemaer og meldinger som ser ut til å stamme fra banken.

Carberp-varianten som målretter mot australske brukere, inneholder Internett-injeksjoner for Internett bank nettsteder av Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank og ANZ. Malware er i stand til å kapre målet for pengeoverføringer i sanntid og bruker bestemte overføringsgrenser for å unngå å øke røde flagg, sa Komarov.

Group-IB mener at de cyberkriminelle bak denne operasjonen befinner seg i tidligere Sovjetunionen. Men konsernet har kontakter med pengermule-tjenester i Australia, samt egne "corporate drops" -bankregnskap registrert for å skamme virksomheter, i landet, sa Komarov.

Angriperne lager tusenvis av nettsider riddled med vilkår fra Bankindustrien som senere vises i websøkresultater for bestemte søkeord, en teknikk kjent som svart hatt søkemotor optimalisering, sa Komarov. Brukere som besøker disse sidene blir omdirigert for å angripe nettsteder som vert utnytter sårbarheter i nettleser-plugin-moduler som Java, Flash Player, Adobe Reader og andre.

Antallet 150.000 infiserte datamaskiner er ikke nummeret som for øyeblikket er aktivt botnet klienter, men et historisk antall unike infeksjoner siden 2012 samlet seg fra botnet kommando- og kontrollserver, sa Komarov. Dessuten bruker ikke alle berørte brukere faktisk nettbank, sa han. Raten er omtrent en av de tre ofrene, anslår han.

Group-IB sa at den jobber med de målrettede bankene og har delt informasjonen fra botnets kommando- og kontrollserver med dem, inkludert kompromitterte kontoopplysninger og Internett-protokolladresser til de infiserte datamaskinene.