الباحثون يكتشفون عملية كبيرة في مجال الإنترنت عبر الإنترنت تستهدف عملاء البنوك الأسترالية

كشف باحثون أمنيون من شركة Group-IB للتحقيقات المتعلقة بجرائم الإنترنت الروسية عن عملية عبر الإنترنت تستخدم برامج ضارة مالية متخصصة لاستهداف عملاء العديد من البنوك الأسترالية الكبرى.

أكثر من 150،000 جهاز كمبيوتر ، معظمهم ينتمون إلى المستخدمين الأستراليين ، أصيبوا بهذه البرمجيات الخبيثة منذ عام 2012 وتمت إضافتهم إلى الروبوتات التي أطلق عليها باحثو المجموعة- IB "الكنغر" أو "كانجو" ، بعد شعار الكنغر المستخدم في القيادة والتحكم واجهة الخادم ، وقال اندريه كوماروف ، رئيس المشاريع الدولية في المجموعة- IB ، الأربعاء عبر البريد الإلكتروني.

البرمجيات الخبيثة هي نسخة معدلة من Carberp ، وهو برنامج طروادة المالية الذي تم استخدامه حتى الآن في المقام الأول ضد مستخدمي الخدمات المصرفية عبر الإنترنت من البلدان الناطقة بالروسية. في الواقع ، يتم استخدام نفس النوع Carberp كجزء من عملية مختلفة تستهدف عملاء Sberbank في روسيا ، وقال Komarov.

[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الخاص بك ويندوز]

مثل غالبية طروادة المالية ويدعم برنامج Carberp استخدام "النصوص عبر الويب" - النصوص البرمجية الخاصة التي تخبر البرمجيات الخبيثة كيف تتفاعل مع مواقع ويب مصرفية محددة. تسمح هذه البرامج النصية للمهاجمين بالاستيلاء على جلسة مصرفية نشطة عبر الإنترنت للضحية ، وبدء عمليات نقل مارقة ، وإخفاء أرصدة الحسابات وعرض نماذج مارقة ورسائل تبدو وكأنها تنبثق من البنك.

يحتوي البديل Carberp الذي يستهدف المستخدمين الأستراليين على حقن الويب للإنترنت المواقع المصرفية من بنك الكومنولث وبنك كوينزلاند وبنك Bendigo وبنك Adelaide و ANZ. وقال كوماروف إن البرمجيات الخبيثة قادرة على اختطاف وجهة تحويلات الأموال في الوقت الحقيقي وتستخدم حدود نقل محددة لتجنب رفع الأعلام الحمراء.

تعتقد مجموعة البنك الدولي أن المجرمين الإلكترونيين الذين يقفون وراء هذه العملية يقعون في دول الاتحاد السوفيتي السابق. ومع ذلك ، فإن المجموعة لديها اتصالات مع خدمات البغال المالية في أستراليا وكذلك حساباتها الخاصة "قطرات الشركات" -المسجلة في البورصة للشركات الشام في البلاد ، وقال كوماروف.

المهاجمين خلق الآلاف من صفحات الويب مليئة بمصطلحات من وقال كوماروف إن الصناعة المصرفية التي ظهرت في وقت لاحق في نتائج البحث على شبكة الإنترنت عن كلمات رئيسية محددة ، وهي تقنية تعرف باسم تحسين محرك البحث عن القبعة السوداء. وأضاف أن المستخدمين الذين يزورون هذه الصفحات سيعاد توجيههم إلى مواقع الهجوم التي تستضيف عمليات استغلال لنقاط الضعف في المكونات الإضافية للمتصفح مثل Java و Flash Player و Adobe Reader وغيرهم.

عدد أجهزة الكمبيوتر المصابة وعددها 150،000 ليس عددًا نشطًا حاليًا عملاء الروبوتات ، ولكن العد التاريخي للعدوى فريدة من نوعها منذ عام 2012 جمعت من خادم الأوامر والتحكم في الروبوتات ، وقال كوماروف. كذلك ، لا يستخدم جميع المستخدمين المتأثرين الخدمات المصرفية عبر الإنترنت. ويقدر السعر واحدًا من كل ثلاثة ضحايا ، حسب تقديره.

Group-IB قال إنه يعمل مع البنوك المستهدفة وشارك المعلومات التي تم جمعها من خادم الأوامر والتحكم في الروبوتات معهم ، بما في ذلك بيانات اعتماد الحساب المخترقة و عناوين بروتوكول الإنترنت لأجهزة الكمبيوتر المصابة.