Investigadores descubren operaciones de ciberfraudamiento dirigidas a clientes de bancos australianos

Investigadores de seguridad de la firma rusa de investigación de delitos cibernéticos Group-IB han descubierto una operación de ciberfraude que utiliza malware financiero especializado para apuntar a clientes de varios bancos australianos.

Más de 150,000 computadoras, la mayoría de ellos pertenecientes a usuarios australianos, han sido infectados con este malware desde 2012 y se agregaron a una botnet que los investigadores del Grupo-IB llamaron "Kangaroo" o "Kangoo", después de un logotipo de canguro utilizado en el comando-y-control la interfaz del servidor, Andrey Komarov, el jefe de proyectos internacionales en Group-IB, dijo el miércoles por correo electrónico.

El malware es una versión modificada de Carberp, un programa troyano financiero que hasta ahora se ha utilizado principalmente contra usuarios de banca por Internet de países de habla rusa. De hecho, la misma variante de Carberp se usa como parte de una operación diferente dirigida a clientes de Sberbank en Rusia, dijo Komarov.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Como la mayoría de los troyanos financieros programas, Carberp admite el uso de "Web inyectables", scripts especiales que le dicen al malware cómo interactuar con sitios web de banca en línea específicos. Estos scripts permiten que los atacantes se aprovechen de la sesión de banca en línea activa de la víctima, inicien transferencias deshonestas, oculten saldos de cuenta y muestren formularios y mensajes falsos que parecen originarse en el banco.

La variante de Carberp dirigida a usuarios australianos contiene inyecciones web para Internet sitios web bancarios de Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank y ANZ. El malware es capaz de secuestrar el destino de las transferencias de dinero en tiempo real y usa límites de transferencia específicos para evitar levantar banderas rojas, dijo Komarov.

Group-IB cree que los ciberdelincuentes detrás de esta operación se encuentran en estados de la ex Unión Soviética. Sin embargo, el grupo tiene contactos con servicios de mulas de dinero en Australia, así como también sus propias "cuentas corporativas" -créditos registrados en empresas simuladas- en el país, dijo Komarov.

Los atacantes crean miles de páginas web plagadas de términos de la industria bancaria que más tarde aparece en los resultados de búsqueda web para palabras clave específicas, una técnica conocida como optimización de motor de búsqueda de sombrero negro, dijo Komarov. Los usuarios que visitan estas páginas son redirigidos para atacar sitios que albergan exploits por vulnerabilidades en complementos del navegador como Java, Flash Player, Adobe Reader y otros, dijo.

El número de 150,000 computadoras infectadas no es el número de personas actualmente activas. clientes de botnet, pero un recuento histórico de infecciones únicas desde 2012 recopiladas del servidor de comando y control de la botnet, dijo Komarov. Además, no todos los usuarios afectados realmente usan banca en línea, dijo. La tasa es aproximadamente una de cada tres víctimas, estimó.

Group-IB dijo que está trabajando con los bancos seleccionados y que ha compartido con ellos la información recopilada del servidor de comando y control de la botnet, incluidas las credenciales de la cuenta comprometida y el Direcciones de Protocolo de Internet de las computadoras infectadas.