Исследователи раскрывают крупную операцию по кибер-мошеню, ориентированную на клиентов австралийского банка

Исследователи безопасности из российской исследовательской фирмы по борьбе с киберпреступностью Group-IB раскрыли операцию по кибер-мошенничеству, которая использует специализированные финансовые вредоносные программы для целевых клиентов нескольких крупных австралийских банков.

Более 150 000 компьютеров, большинство из которых принадлежат австралийским пользователям, были заражены этим вредоносным программным обеспечением с 2012 года и были добавлены в ботнет, которые исследователи группы IB назвали «Kangaroo» или «Kangoo» после эмблемы кенгуру, используемой в командно-контроле сервер, Андрей Комаров, руководитель международных проектов в Group-IB, сказал в среду по электронной почте.

Вредоносная программа - это модифицированная версия Carberp, финансовой троянской программы, которая до сих пор использовалась в основном для пользователей интернет-банкинга из русскоязычных стран. Фактически, тот же вариант Карберпа используется как часть другой операции, ориентированной на клиентов Сбербанка России, сказал Комаров.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Как и большинство финансовых троянских программ программы, Carberp поддерживает использование «Web-инъекций» -специальных сценариев, которые сообщают вредоносному ПО, как взаимодействовать с конкретными веб-сайтами онлайн-банкинга. Эти сценарии позволяют злоумышленникам копировать активную онлайн-банковскую сессию жертвы, инициировать переводы изгоев, скрывать балансы счетов и отображать формы изгоев и сообщения, которые, как представляется, происходят из банка.

Вариант Carberp, предназначенный для австралийских пользователей, содержит веб-инъекции для Интернета банковские сайты Содружества Банка, Банка Квинсленда, Банка Бендиго, Аделаид Банка и АНЗ. Комаров сказал, что вредоносное ПО способно захватить назначение денежных переводов в режиме реального времени и использует конкретные лимиты передачи, чтобы избежать повышения красных флагов.

Группа IB считает, что киберпреступники, стоящие за этой операцией, находятся в странах бывшего Советского Союза. Тем не менее, группа имеет контакты с службами денежных мулов в Австралии, а также свои собственные «корпоративные капли» - банковские счета, зарегистрированные на фиктивные предприятия - в стране, сказал Комаров.

Нападавшие создают тысячи веб-страниц, пронизанных условиями от банковская индустрия, которая позже появляется в результатах поиска в Интернете по определенным ключевым словам, метод, известный как поисковая оптимизация черной шляпы, сказал Комаров. По его словам, пользователи, которые посещают эти страницы, перенаправляются на сайты атак, на которых размещаются эксплойты для уязвимостей в таких плагинах браузера, как Java, Flash Player, Adobe Reader и другие.

Число 150 000 зараженных компьютеров - это не число активных в настоящее время ботнет-клиентов, но исторический подсчет уникальных инфекций с 2012 года собрался с сервера управления и контроля ботнета, сказал Комаров. Кроме того, не все затронутые пользователи фактически используют онлайн-банкинг, сказал он.

Группа IB сообщила, что она работает с целевыми банками и делится с ними информацией, собранной с сервера управления и управления ботнетом, включая скомпрометированные учетные данные и IP-адреса зараженных компьютеров.