研究人员发现针对澳大利亚银行客户的大规模网络欺诈行动

俄罗斯网络犯罪调查公司Group-IB的安全研究人员发现了一项网络欺诈操作，该操作使用专门的金融恶意软件来瞄准几家澳大利亚主要银行的客户

超过150,000台计算机，其中大多数属于澳大利亚用户，自2012年以来一直感染这种恶意软件，并被添加到Group-IB研究人员称之为“袋鼠”或“Kangoo”的僵尸网络中，后者在命令和控制上使用袋鼠标志服务器接口，Group-IB国际项目主管Andrey Komarov周三透过电子邮件表示。

恶意软件是Carberp的一种修改版本，它是迄今为止主要用于俄语国家的互联网银行用户的金融木马程序。 Komarov说，事实上，同样的Carberp变体被用作针对俄罗斯Sberbank客户的不同操作的一部分。

[进一步阅读：如何从Windows PC移除恶意软件]

像大多数金融木马程序，Carberp支持使用“Web注入” - 特殊脚本来告诉恶意软件如何与特定的在线银行网站进行交互。这些脚本允许攻击者搭载受害者活跃的在线银行业务会话，启动流氓转账，隐藏账户余额并显示似乎源自银行的流氓表单和邮件。

针对澳大利亚用户的Carberp变体包含Internet的Web注入联邦银行，昆士兰银行，本迪戈银行，阿德莱德银行和澳新银行的银行网站。 Komarov说，该恶意软件能够实时劫持汇款的目的地，并使用特定的转账限额来避免引发红旗.K1组认为，该行动背后的网络犯罪分子位于前苏联各州。然而，Komarov说，该集团与澳大利亚的金钱骡服务以及其在企业中注册的“企业下注” - 银行账户相关联 - 在该国，该攻击者创建了数千个网页，其中包含条款Komarov说，后来出现在网络搜索结果中的特定关键字的银行业，这种技术被称为黑帽搜索引擎优化。他说，访问这些网页的用户会被重定向到攻击攻击漏洞的浏览器插件（如Java，Flash Player，Adobe Reader等）漏洞的网站。

受感染计算机数量为150,000，并不是当前活动的数量僵尸网络客户端，但自2012年以来，僵尸网络的指挥和控制服务器收集了独特的感染历史数据，Komarov说。另外，并非所有受影响的用户实际使用网上银行，他说。据他估计，这个比率大约是每三个受害者中的一个。

Group-IB表示它正在与目标银行合作，并将僵尸网络的指挥和控制服务器收集的信息与他们分享，包括受损的账户凭证和受感染计算机的Internet协议地址。