Onderzoekers onthullen grote cyberfraud-operatie gericht op Australische bankklanten

Beveiligingsonderzoekers van het Russische cybercriminaliteitsonderzoeksbureau Group-IB hebben een cyberfraud-operatie ontdekt waarbij gespecialiseerde financiële malware wordt gebruikt om de klanten van verschillende grote Australische banken te targeten.

Meer dan 150.000 computers, de meeste van hen die behoren tot Australische gebruikers, zijn sinds 2012 geïnfecteerd met deze malware en zijn toegevoegd aan een botnet dat Groep-IB-onderzoekers "Kangaroo" of "Kangoo" hebben genoemd, naar een kangoeroe-logo dat wordt gebruikt bij de command-and-control server-interface, Andrey Komarov, het hoofd van internationale projecten bij Group-IB, zei woensdag via e-mail.

De malware is een aangepaste versie van Carberp, een financieel Trojaans programma dat tot nu toe voornamelijk is gebruikt tegen gebruikers van internetbankieren uit Russisch sprekende landen. In feite wordt dezelfde Carberp-variant gebruikt als onderdeel van een andere operatie gericht op klanten van Sberbank in Rusland, zei Komarov.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Zoals de meerderheid van de financiële Trojaanse paarden programma's ondersteunt Carberp het gebruik van "Web-injecties" -specifieke scripts die de malware vertellen hoe ze moeten omgaan met specifieke websites voor online bankieren. Met deze scripts kunnen aanvallers meeliften op de actieve online bankensessie van een slachtoffer, malafide overdrachten initiëren, rekeningsaldi verbergen en malafide formulieren en berichten weergeven die afkomstig lijken te zijn van de bank.

De Carberp-variant gericht op Australische gebruikers bevat internetinjecties voor internet bankwebsites van Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank en ANZ. De malware is in staat om de bestemming van geldtransfers in real time te kapen en maakt gebruik van specifieke overdrachtslimieten om het opheffen van rode vlaggen te voorkomen, aldus Komarov. Groep-IB is van mening dat de cybercriminelen achter deze operatie zich in voormalige Sovjet-staten bevinden. De groep heeft echter contacten met geldmuildiensten in Australië, evenals zijn eigen 'bedrijfsdruppels' - bankrekeningen geregistreerd bij schijnbedrijven - in het land, zei Komarov.

De aanvallers creëren duizenden webpagina's die vol zitten met termen uit de banksector die later in de zoekresultaten van het Web voor specifieke zoekwoorden verschijnt, een techniek die bekend staat als de optimalisatie van de zoekmachine van zwarte hoeden, zei Komarov. Gebruikers die deze pagina's bezoeken, worden omgeleid naar aanvalssites die exploits hosten voor kwetsbaarheden in browserplug-ins zoals Java, Flash Player, Adobe Reader en anderen.

Het aantal 150.000 geïnfecteerde computers is niet het aantal momenteel actieve computers botnet-clients, maar een historisch aantal unieke infecties sinds 2012 verzameld van de command and control-server van het botnet, zei Komarov. Bovendien gebruiken niet alle betrokken gebruikers daadwerkelijk online bankieren, zei hij. Het cijfer is ongeveer één op de drie slachtoffers, schatte hij.

Group-IB zei dat het met de beoogde banken werkt en de informatie die is verzameld van de command and control server van het botnet met hen heeft gedeeld, inclusief aangetaste accountgegevens en de Internet Protocol-adressen van de geïnfecteerde computers.