Araştırmacılar Avustralya banka müşterilerini hedef alan büyük siber sigorta operasyonunu ortaya çıkardı

Rus siber suç araştırmaları şirketi Group-IB'den güvenlik araştırmacıları, bazı büyük Avustralyalı bankaların müşterilerini hedeflemek için özel finansal kötü amaçlı yazılım kullanan bir siber sigorta operasyonu ortaya çıkardı.

150.000'den fazla bilgisayar Bunların çoğu Avustralyalı kullanıcılara ait olup, 2012'den beri bu kötü amaçlı yazılımdan etkilenmiş ve komuta-kontrolde kullanılan bir kanguru logosundan sonra Grup-IB araştırmacılarının “Kangaroo” ya da “Kangoo” adını verdiği bir botnet'e eklenmiştir. Sunucu arayüzü, Group-IB'deki uluslararası projelerin yöneticisi Andrey Komarov, Çarşamba günkü e-posta ile dedi.

Kötü amaçlı yazılım, şimdiye kadar Rusça konuşulan ülkelerden gelen İnternet bankacılığı kullanıcılarına karşı şimdiye kadar kullanılmış olan bir finansal Truva atı programı olan Carberp'in değiştirilmiş bir versiyonudur. Aslında, aynı Carberp varyantı Rusya'daki Sberbank müşterilerini hedef alan farklı bir operasyonun bir parçası olarak kullanılıyor, dedi Komarov.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Mali Trojan'ın çoğunluğu gibi programlar, Carberp, kötü amaçlı yazılımların belirli çevrimiçi bankacılık web siteleriyle nasıl etkileşimde bulunacağını söyleyen “Web enjeksiyonu” kullanımını destekler. Bu senaryolar saldırganların mağdurun aktif çevrimiçi bankacılık oturumuna geri dönmelerine, hileli transferleri başlatmasına, hesap bakiyelerini gizlemesine ve bankadan kaynaklı görünen haydut formları ve mesajları görüntülemesine izin veriyor.

Avustralyalı kullanıcıları hedefleyen Carberp varyantı İnternet için Web enjeksiyonu içeriyor Commonwealth Bank, Queensland Bank, Bendigo Bank, Adelaide Bank ve ANZ'nin bankacılık web siteleri. Kötü amaçlı yazılım, gerçek zamanlı olarak para transferlerinin hedefini ele geçirme kapasitesine sahip ve kırmızı bayrakların yükselmesini önlemek için belirli transfer limitleri kullandığını belirtti. Komarov dedi.

Grup-IB, bu operasyonun arkasındaki siber suçluların eski Sovyetler Birliği ülkelerinde bulunduğuna inanıyor. Bununla birlikte, grubun Avustralya'da para katır hizmetleri ile temasları vardır, bunun yanı sıra ülkedeki sahte şirketlere kayıtlı kendi “kurumsal düşüşleri” banka hesapları, Komarov dedi.

Saldırganlar, terimlerle dolu binlerce Web sayfası yaratıyor. Komarov, daha sonra web arama sonuçlarında belirli anahtar kelimeler için görünen bankacılık endüstrisinin, siyah şapka arama motoru optimizasyonu olarak bilinen bir teknik olduğunu söyledi. Bu sayfaları ziyaret eden kullanıcılar, Java, Flash Player, Adobe Reader ve diğerleri gibi tarayıcı eklentilerindeki güvenlik açıkları için saldırıları barındıran saldırı sitelerine yönlendirilir. Dedi.

Virüslü bilgisayar sayısı şu anda aktif değil. Komarov, botnet müşterileri, ancak 2012'den bu yana benzersiz enfeksiyonların tarihi sayısının botnet'in komuta ve kontrol sunucusundan toplandığını söyledi. Ayrıca, tüm etkilenen kullanıcılar aslında çevrimiçi bankacılık kullanmıyor, dedi. Oran, her üç kurbanın da kabaca bir olduğunu tahmin ediyor.

Grup-IB, hedeflenen bankalarla çalıştığını ve botnet'in komuta ve kontrol sunucusundan toplanan bilgileri, bunlarla bağlantılı hesap kimlik bilgileri ve Virüslü bilgisayarların İnternet Protokolü adresleri.