연구원이 호주 은행 고객을 대상으로 대규모 사이버 사기 작전을 발굴

러시아 사이버 범죄 수사 회사 인 Group-IB의 보안 연구원은 특정 금융 악성 코드를 사용하여 여러 주요 호주 은행의 고객을 대상으로하는 사이버 범죄를 발견했습니다.

150,000 대가 넘는 컴퓨터 대부분이 호주 사용자에 속하며 2012 년부터이 악성 코드에 감염되어 Group-IB 연구원이 명령 및 제어에 사용 된 캥거루 로고 다음에 "Kangaroo"또는 "Kangoo"라고 불린 봇넷에 추가되었습니다 서버의 인터페이스 인 Group-IB의 국제 프로젝트 책임자 인 Andrey Komarov는 수요일에 이메일을 통해 말했다.

악성 코드는 주로 러시아어 사용 국가의 인터넷 뱅킹 사용자를 대상으로 사용 된 재정적 인 트로이 목마 프로그램 인 Carberp의 수정 된 버전입니다. 사실, 같은 Carberp 변형이 러시아의 Sberbank 고객을 대상으로 한 다른 작업의 일부로 사용된다고 Komarov는 전했다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

대다수의 금융 트로이 프로그램에서 Carberp는 멀웨어에게 특정 온라인 뱅킹 웹 사이트와 상호 작용하는 방법을 알려주는 "웹 삽입"특수 스크립트의 사용을 지원합니다. 이 스크립트는 공격자가 피해자의 활성 온라인 뱅킹 세션을 피기 백 (piggyback)하고, 불량 전송을 시작하고, 계좌 잔고를 숨기고, 은행에서 발생한 것처럼 보이는 불량 폼 및 메시지를 표시 할 수 있습니다.

호주 사용자를 대상으로하는 Carberp 변형은 인터넷 커먼 웰스 은행, 퀸즐랜드 은행, 벤 디고 은행, 애들레이드 은행 및 ANZ의 은행 웹 사이트. 코모 로프는 악성 코드가 실시간으로 송금 대상을 가로 채고 특정 전송 제한을 사용하여 적기를 기피하는 것을 막을 수 있다고 전했다.

Group-IB는이 작업의이면에있는 사이버 범죄자는 구 소련 국가에 있다고 생각한다. 그러나이 단체는 호주에서 돈 뮬 서비스와 접촉하고 있으며, 회사의 사기업에 등록 된 은행 계좌 인 호주의 기업 방울도 있다고 코마 로프는 전했다.

공격자는 수천 개의 웹 페이지를 고마 로프는 블랙 박스 검색 엔진 최적화 (black hat search engine optimization)로 알려진 특정 키워드에 대한 웹 검색 결과에 나중에 나타나는 은행 업계에 대해 " 이 페이지를 방문하는 사용자는 자바, 플래시 플레이어, 어도비 리더 및 기타와 같은 브라우저 플러그인의 취약점을 악용하는 공격 사이트로 리디렉션된다고 그는 말했다.

감염된 컴퓨터의 수가 15 만개가 아니라 현재 활성화 된 컴퓨터의 수 코메 로프는 그러나 봇넷의 명령 및 제어 서버에서 수집 된 2012 년 이후의 고유 한 감염에 대한 역사적 수치가 있다고 말했다. 또한 영향을받는 모든 사용자가 온라인 뱅킹을 실제로 사용하는 것은 아닙니다. Group-IB는 대상 은행과 협력 중이며, 봇넷의 명령 및 제어 서버에서 수집 한 정보를 손상된 계정 자격 증명 및 기타 정보와 함께 공유했다고 전했다. 감염된 컴퓨터의 인터넷 프로토콜 주소.