Výzkumníci odhalí rozsáhlou operaci proti terorismu zaměřenou na zákazníky australských bank

Výzkumníci z ruské firmy pro vyšetřování počítačové kriminality Group-IB odhalili operaci proti kybernetickému útoku, která využívá specializovaný finanční malware zaměřený na zákazníky několika významných australských bank

Více než 150 000 počítačů, většina z nich patřící k australským uživatelům, byla od roku 2012 nakažena tímto malwarem a byla přidána do botnetu, kterou vědci skupiny-IB nazvali "Kangaroo" nebo "Kangoo" po logem klokana použitém na příkazu a kontrole serverové rozhraní Andrey Komarov, šéf mezinárodních projektů ve skupině IB, oznámil ve středu e-mailem

Malware je upravená verze Carberpu, finančního trojského programu, který byl dosud používán především proti uživatelům internetového bankovnictví z rusky mluvících zemí. Ve skutečnosti se stejná varianta Carberp používá jako součást jiné operace zaměřené na zákazníky Sberbank v Rusku, uvedl Komarov.

Jako většina finančních trojských koní programy Carberp podporují používání webových injekcí - speciálních skriptů, které informují malware o tom, jak interagovat s konkrétními internetovými bankovními webovými stránkami. Tyto skripty umožňují útočníkům vracet se k aktivnímu režimu online bankovnictví, zahájit nepoctivé převody, skrýt zůstatky účtů a zobrazovat neoprávněné formuláře a zprávy, které se zdají pocházet od banky.

Varianta Carberp zaměřená na australské uživatele obsahuje webové injekce pro internet bankovní webové stránky Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank a ANZ. Malware je schopen v reálném čase odvézt místo určení převodů peněz a využívá specifické přenosové limity, aby se vyhnula zvedání červených vlajek, uvedl Komarov.

Skupina IB se domnívá, že kyberneptici za touto operací se nacházejí v zemích bývalého Sovětského svazu. Nicméně, skupina má kontakty v Austrálii s peněžními můstky v Austrálii, stejně jako své vlastní "korporátní kvóty" - bankovní účty registrované na falešných společnostech - v zemi, uvedl Komarov.

Útočníci vytvářejí tisíce webových stránek plných termínů bankovní sektor, který se později objevil ve výsledcích vyhledávání na webu pro konkrétní klíčová slova, techniku ​​známou jako optimalizace vyhledávače černých klobouků, řekl Komarov. Uživatelé, kteří navštěvují tyto stránky, jsou přesměrováni k útoku na stránky, které hostitele využívají pro zranitelná místa v zásuvných modulech prohlížeče, jako je Java, Flash Player, Adobe Reader a další.

Počet 150 000 napadených počítačů není číslo aktuálně aktivních botnetových klientů, ale historický počet unikátních infekcí od roku 2012 shromážděných od příkazového a kontrolního serveru botnetu, řekl Komarov. Také ne všichni ovlivnění uživatelé skutečně používají online bankovnictví, řekl. Podle odhadů