Forscher decken große Cyber-Betrugsoperation für australische Bankkunden auf

Die Sicherheitsforscher der russischen Firma für Cyberkriminalitäts-Ermittlungen Group-IB haben eine Cyberbetrug-Operation entdeckt, bei der spezielle Finanz-Malware die Kunden mehrerer großer australischer Banken anspricht.

Über 150.000 Computer Die meisten von ihnen gehören australischen Benutzern und sind seit 2012 mit dieser Malware infiziert und wurden einem Botnet hinzugefügt, das von Group-IB-Forschern als "Kangaroo" oder "Kangoo" bezeichnet wurde, nachdem ein Känguru-Logo auf Befehl und Kontrolle verwendet wurde Server-Schnittstelle, sagte Andrey Komarov, der Leiter der internationalen Projekte bei Group-IB, Mittwoch per E-Mail.

Die Malware ist eine modifizierte Version von Carberp, einem finanziellen Trojaner-Programm, das bisher hauptsächlich gegen Internet-Banking-Benutzer aus russischsprachigen Ländern eingesetzt wurde. In der Tat, die gleiche Carberp-Variante wird als Teil einer anderen Operation für Kunden der Sberbank in Russland verwendet, sagte Komarov.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Wie die meisten finanziellen Trojaner Programme unterstützt Carberp die Verwendung von "Web-Injects" -Special-Skripten, die der Malware mitteilen, wie sie mit bestimmten Online-Banking-Websites interagieren soll. Mit diesen Skripten können Angreifer die aktive Online-Banking-Sitzung eines Opfers verfolgen, Rogue-Transfers auslösen, Kontostände ausblenden und bösartige Formulare und Nachrichten anzeigen, die von der Bank stammen.

Die Carberp-Variante für australische Benutzer enthält Web-Injects für das Internet Banking-Websites der Commonwealth Bank, der Bank of Queensland, der Bendigo Bank, der Adelaide Bank und der ANZ. Die Malware ist in der Lage, das Ziel von Geldtransfers in Echtzeit zu hijappen und nutzt bestimmte Übertragungsgrenzen, um rote Fahnen zu vermeiden, sagte Komarov.

Group-IB glaubt, dass die Cyberkriminellen hinter dieser Operation in Staaten der ehemaligen Sowjetunion liegen. Die Gruppe hat jedoch Kontakte mit Geldmultis in Australien sowie mit eigenen "Corporate Drops" - Bankkonten, die für Scheingeschäfte registriert sind -, sagte Komarov.

Die Angreifer erstellen Tausende von Webseiten, die mit Begriffen gespickt sind die Bankbranche, die später in Web-Suchergebnissen für bestimmte Keywords erscheinen, eine Technik, die als Black-Hat-Suchmaschinen-Optimierung bekannt ist, sagte Komarov. Benutzer, die diese Seiten besuchen, werden auf Angriffswebseiten umgeleitet, die Exploits für Schwachstellen in Browser-Plug-ins wie Java, Flash Player, Adobe Reader und anderen hosten.

Die Anzahl von 150.000 infizierten Computern ist nicht die Anzahl der derzeit aktiven Botnet-Clients, aber eine historische Anzahl einzigartiger Infektionen seit 2012, die vom Botnet-Command-and-Control-Server gesammelt wurde, sagte Komarov. Auch nicht alle betroffenen Nutzer nutzen Online-Banking, sagte er. Die Rate ist ungefähr eines von drei Opfern, schätzte er.

Group-IB sagte, dass es mit den Zielbanken arbeitet und hat die Informationen, die vom Botnets Befehls- und Kontrollserver gesammelt wurden, mit ihnen, einschließlich kompromittierte Kontoanmeldeinformationen und die Internetprotokolladressen der infizierten Computer.