Tutkijat paljastavat suuren tietoverkkotoiminnan, joka kohdistuu Australian pankkiasiakkaisiin

Tietoturva-tutkijat Venäjän tietoverkkotutkimusyrityksistä Group-IB ovat paljastaneet cyberfraud-operaation, joka käyttää erikoistuneita taloudellisia haittaohjelmia, jotka kohdistuvat useiden suurten Australian pankkien asiakkaisiin.

Yli 150 000 tietokonetta, joista suurin osa kuuluu australialaisiin käyttäjiin, on tartuttu tästä haittaohjelmasta vuodesta 2012 lähtien ja lisättiin botnetiin, jonka Group-IB-tutkijat ovat dubattaneet "Kangaroo" tai "Kangoo", kun kangaroo-logoa käytetään komentotarkastuksessa palvelimen käyttöliittymä, kansainvälisten hankkeiden päällikkö Andrey Komarov Group-IB: ssä, sanoi keskiviikkona sähköpostitse.

Haittaohjelmat ovat Carberpin, troijalaisen ohjelman, jota tähän mennessä on käytetty pääasiassa venäjänkielisten Internet-pankkipalvelujen käyttäjiä. Itse asiassa sama Carberp-variantti on käytössä osana eri operaatiota, joka kohdistuu Sberbankin asiakkaisiin Venäjällä, Komarov sanoi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

ohjelmia, Carberp tukee "Web injects" -sovellusten käyttöä - erityisiä skriptejä, jotka kertovat haittaohjelmalle, miten vuorovaikutuksessa tiettyjen verkkopankki-sivustojen kanssa. Nämä komentosarjat sallivat hyökkääjien siirtyvän uhrin aktiiviseen online-pankkisessioon, käynnistämään väärennösten siirtoja, piilottamaan tilitaseja ja näyttämään väärennettyjä lomakkeita ja viestejä, jotka näyttävät olevan peräisin pankista.

Australian käyttäjille kohdennettua Carberp-versiota sisältävä Web-injektio Internetiin pankkien verkkosivuilla Commonwealth Bank, Queenslandin pankki, Bendigo Bank, Adelaide Bank ja ANZ. Haittaohjelmat kykenevät kaappaamaan rahansiirron määränpäätä reaaliajassa ja käyttävät erityisiä siirtorajoja, jotta vältetään punaisten lipujen nostaminen.

Group-IB uskoo, että tämän operaation taustalla olevat tietoverkkorikolliset sijaitsevat entisissä Neuvostoliiton valtioissa. Ryhmässä on kuitenkin yhteyksiä rahamuseon palveluihin Australiassa sekä omia "yritysten pudotuksia" pankkien tilejä, jotka on rekisteröitty varkausyrityksille - maassa, Komarov sanoi.

Hyökkääjät luo tuhansia Web-sivuja, jotka on täytetty termeillä pankkiala, joka myöhemmin ilmestyy Web-hakutuloksissa tietyille avainsanoille, tekniikka tunnetaan musta hattu hakukoneoptimointi, Komarov sanoi. Käyttäjät, jotka vierailevat näillä sivuilla, ohjataan hyökkäämään sivustoihin, jotka ylläpitävät Java-sovellusten, Flash Playerin, Adobe Readerin ja muiden käyttäjien haavoittuvuuksia.

150 000 tartunnan saaneesta tietokoneesta ei ole tällä hetkellä aktiivisten botnet-asiakkaita, mutta historiallinen määrä ainutlaatuisista infektioista vuodesta 2012 kerättiin botnetin komento- ja ohjauspalvelimesta, Komarov sanoi. Myöskään kaikki verkossa toimivat käyttäjät eivät käytännössä käyttäneet kaikkia käyttäjiä, hän sanoi.

Group-IB sanoi, että se työskentelee kohdennettujen pankkien kanssa ja on jakanut botnetin komentojen ja valvontapalvelimen kanssa kerätyt tiedot heidän kanssaan, mukaan lukien vaarantuneet tilitiedot ja Internet-protokollan osoitteet tartunnan saaneille tietokoneille.