Des chercheurs découvrent une grande cyberfraude ciblant des clients bancaires australiens

Des chercheurs en sécurité de la firme russe d'enquête sur la cybercriminalité Group-IB ont découvert une opération cyberfraude utilisant des logiciels malveillants spécialisés pour cibler les clients de plusieurs grandes banques australiennes.

Plus de 150 000 ordinateurs, la plupart d'entre eux appartenant à des utilisateurs australiens, ont été infectés par ce malware depuis 2012 et ont été ajoutés à un botnet que les chercheurs du Groupe-IB ont surnommé «Kangourou» ou «Kangoo», après un logo kangourou utilisé sur le commandement et contrôle. L'interface du serveur, Andrey Komarov, responsable des projets internationaux chez Group-IB, a déclaré mercredi par email.

Le malware est une version modifiée de Carberp, un programme de Troie financier utilisé jusqu'à présent principalement contre les utilisateurs de services bancaires par Internet des pays russophones. Komarov dit que la même variante Carberp est utilisée dans le cadre d'une opération différente visant les clients de Sberbank en Russie.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Comme la majorité des chevaux de Troie programmes, Carberp prend en charge l'utilisation de scripts spéciaux «Web injects» qui indiquent au logiciel malveillant comment interagir avec des sites Web bancaires spécifiques. Ces scripts permettent aux attaquants de se greffer sur la session bancaire active d'une victime, d'initier des transferts malveillants, de masquer les soldes de comptes et d'afficher des formulaires malveillants et des messages provenant de la banque.

La variante Carberp ciblant les internautes australiens sites bancaires de la Commonwealth Bank, de la Bank of Queensland, de la Bendigo Bank, de la Adelaide Bank et d'ANZ. Komarov dit que le malware est capable de détourner la destination des transferts d'argent en temps réel et utilise des limites de transfert spécifiques pour éviter de brandir des drapeaux rouges.

Le groupe IB estime que les cybercriminels sont situés dans les anciens états soviétiques. Cependant, le groupe a des contacts avec des services de mules d'argent en Australie, ainsi que ses propres "entreprises" - des comptes bancaires enregistrés dans des simulacres d'entreprises - dans le pays, dit Komarov.

Les attaquants créent des milliers de pages Web criblées de termes l'industrie bancaire qui apparaît plus tard dans les résultats de recherche Web pour des mots-clés spécifiques, une technique connue sous le nom d'optimisation de moteur de recherche chapeau noir, a déclaré Komarov. Selon lui, les utilisateurs qui visitent ces pages sont redirigés vers des sites d'attaque qui hébergent des vulnérabilités dans des plug-ins de navigateur comme Java, Flash Player, Adobe Reader et autres.

Le nombre de 150 000 ordinateurs infectés n'est pas le nombre de clients de botnet, mais un compte historique des infections uniques depuis 2012 recueillies auprès du serveur de commande et de contrôle du botnet, a déclaré Komarov. En outre, tous les utilisateurs concernés n'utilisent pas réellement les services bancaires en ligne, a-t-il déclaré. Il estime que le taux est d'environ une victime sur trois.

Le groupe IB a déclaré travailler avec les banques ciblées et partager avec eux les informations collectées par le serveur de commande et de contrôle du botnet, y compris les informations de compte compromises. Adresses de protocole Internet des ordinateurs infectés.