I ricercatori scoprono una grande operazione di cyberfraud rivolta ai clienti delle banche australiane

I ricercatori di sicurezza della società di indagini sui criminali informatici russi Group-IB hanno scoperto un'operazione di cyberfraud che utilizza malware finanziario specializzato per rivolgersi ai clienti di diverse importanti banche australiane.

Oltre 150.000 computer, la maggior parte di loro appartenenti ad utenti australiani, sono stati infettati da questo malware dal 2012 e sono stati aggiunti a una botnet che i ricercatori di Group-IB hanno soprannominato "Kangaroo" o "Kangoo", dopo un logo di canguro usato sul comando e controllo Interfaccia del server, Andrey Komarov, responsabile dei progetti internazionali al Group-IB, ha dichiarato mercoledì via email.

Il malware è una versione modificata di Carberp, un programma Trojan finanziario che finora è stato utilizzato principalmente contro utenti di Internet banking provenienti da paesi di lingua russa. Infatti, la stessa variante Carberp è utilizzata come parte di una diversa operazione rivolta ai clienti di Sberbank in Russia, ha detto Komarov.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Come la maggior parte dei trojan finanziari programmi, Carberp supporta l'uso di "Web injects", script speciali che dicono al malware come interagire con specifici siti web di banking online. Questi script consentono agli aggressori di essere trasportati sulla sessione di banking online attiva di una vittima, avviare trasferimenti non autorizzati, nascondere i saldi dei conti e visualizzare moduli e messaggi canaglia che sembrano provenire dalla banca.

La variante Carberp destinata agli utenti australiani contiene Web injection per Internet siti web bancari di Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank e ANZ. Il malware è in grado di dirottare la destinazione dei trasferimenti di denaro in tempo reale e utilizza limiti di trasferimento specifici per evitare di alzare bandiere rosse, ha detto Komarov.

Group-IB ritiene che i criminali informatici dietro questa operazione si trovino negli stati dell'ex Unione Sovietica. Tuttavia, il gruppo ha contatti con i servizi di money mule in Australia e con i propri "corporate drop" - conti bancari registrati per le imprese fittizie - nel paese, ha detto Komarov.

Gli aggressori creano migliaia di pagine Web piene di termini da il settore bancario che in seguito appare nei risultati di ricerca Web per parole chiave specifiche, una tecnica nota come ottimizzazione dei motori di ricerca black hat, ha detto Komarov. Gli utenti che visitano queste pagine vengono reindirizzati ai siti di attacco che ospitano gli exploit per vulnerabilità nei plug-in del browser come Java, Flash Player, Adobe Reader e altri, ha affermato.

Il numero di 150.000 computer infetti non è il numero attualmente attivo clienti di botnet, ma un conteggio storico di infezioni uniche dal 2012 raccolte dal server di comando e controllo della botnet, ha detto Komarov. Inoltre, non tutti gli utenti interessati utilizzano effettivamente l'online banking, ha affermato. Il tasso è all'incirca una su tre vittime, ha stimato.

Group-IB ha detto che sta lavorando con le banche mirate e ha condiviso con loro le informazioni raccolte dal server di comando e controllo della botnet, comprese le credenziali dell'account compromesso e il Indirizzi di protocollo Internet dei computer infetti.