Peneliti mengungkap operasi cyberfraud besar yang menargetkan pelanggan bank Australia

Peneliti keamanan dari perusahaan penyelidikan kejahatan cyber Rusia Group-IB telah menemukan operasi cyberfraud yang menggunakan malware keuangan khusus untuk menargetkan pelanggan dari beberapa bank besar Australia.

Lebih dari 150.000 komputer, sebagian besar dari mereka milik pengguna Australia, telah terinfeksi malware ini sejak 2012 dan ditambahkan ke botnet yang oleh peneliti Grup-IB dijuluki “Kanguru” atau “Kangoo,” setelah logo kanguru digunakan pada perintah-dan-kontrol Antarmuka server, Andrey Komarov, kepala proyek internasional di Group-IB, mengatakan Rabu melalui email.

Malware adalah versi modifikasi dari Carberp, program Trojan finansial yang sejauh ini digunakan terutama terhadap pengguna internet banking dari negara-negara yang berbahasa Rusia. Bahkan, varian Carberp yang sama digunakan sebagai bagian dari operasi yang berbeda yang menargetkan pelanggan Sberbank di Rusia, kata Komarov.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Seperti mayoritas Trojan keuangan program, Carberp mendukung penggunaan skrip-skrip khusus "Web injects" yang memberi tahu malware cara berinteraksi dengan situs web perbankan online tertentu. Skrip ini memungkinkan penyerang untuk dukung-dukungan pada sesi perbankan online aktif korban, memulai transfer nakal, menyembunyikan saldo akun dan menampilkan formulir jahat dan pesan yang tampaknya berasal dari bank.

Varian Carberp yang menargetkan pengguna Australia berisi suntikan Web untuk internet situs web perbankan Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank dan ANZ. Malware ini mampu membajak tujuan pengiriman uang secara real time dan menggunakan batas transfer tertentu untuk menghindari munculnya bendera merah, kata Komarov.

Grup-IB percaya bahwa penjahat cyber di belakang operasi ini terletak di negara-negara bekas Uni Soviet. Namun, kelompok ini memiliki kontak dengan layanan uang keledai di Australia serta rekening "korporasi" -nya sendiri yang terdaftar untuk membohongi bisnis-di negara itu, kata Komarov.

Para penyerang menciptakan ribuan halaman Web yang penuh dengan persyaratan dari industri perbankan yang kemudian muncul di hasil pencarian Web untuk kata kunci tertentu, teknik yang dikenal sebagai optimasi mesin pencari topi hitam, Komarov kata. Pengguna yang mengunjungi halaman-halaman ini diarahkan untuk menyerang situs-situs yang meng-host exploit untuk kerentanan di plug-in browser seperti Java, Flash Player, Adobe Reader dan lainnya, katanya.

Jumlah 150.000 komputer yang terinfeksi bukan jumlah yang aktif saat ini. klien botnet, tetapi jumlah historis dari infeksi unik sejak 2012 dikumpulkan dari perintah botnet dan server kontrol, kata Komarov. Selain itu, tidak semua pengguna yang terkena dampak benar-benar menggunakan perbankan online, katanya. Angka ini kira-kira satu dari setiap tiga korban, dia memperkirakan.

Grup-IB mengatakan bahwa ia bekerja dengan bank yang ditargetkan dan telah berbagi informasi yang dikumpulkan dari perintah botnet dan server kontrol dengan mereka, termasuk kredensial akun yang dikompromikan dan Alamat Protokol Internet komputer yang terinfeksi.