Group-IB: Версия Carberp использовалась для инфицирования 150 тысяч компьютеров в Австралии

Эксперты по безопасности из Group-IB обнаружили, что некоторые кибермахинации осуществлялись посредством задействования версии вредоносного ПО Carberp, созданной еще в 2012 году. Главной целью атак стали клиенты австралийских банков.

Как сообщает Андрей Комаров, руководитель международных проектов Group-IB, около 150 тысяч компьютеров австралийских пользователей были инфицированы вредоносным ПО, после чего они стали частью ботнета, который в компании идентифицируют как «Kangaroo» или «Kangoo».

ИБ-эксперты уточнили, что 150 тысяч машин на сегодняшний день не являются активными ботами – такое количество компьютеров злоумышленникам удалось инфицировать за время существования вредоносного ПО – с 2012 года.

Вирус является модифицированной версией финансового трояна Carberp, который ранее использовался для атак на компьютеры пользователей банков русскоязычных стран. Более того, Комаров заявил, что именно это вредоносное ПО используется для осуществления различных операций, направленных на клиентов Сбербанка России.

Вариант Carberp, ориентированный на австралийских пользователей, содержит специальный набор сценариев, который определяет, как поступать при посещении того или другого банка и направлен на клиентов таких банков, как Commonwealth Bank, Bank of Queensland, Bendigo Bank, Adelaide Bank и ANZ. Вредоносная программа похищает данные о денежных переводах, а для того чтобы о махинациях не стало известно, злоумышленники осуществляли переводы на ограниченные суммы.

В Group-IB считают, что злоумышленники, ответственные за осуществление махинаций, являются жителями стран бывшего Советского Союза.

Представители компании заявили, что сейчас Group-IB сотрудничает с пострадавшими банками. Исследователи предоставили им информацию, полученную с C&C-серверов ботнета, в том числе и о скомпрометированных данных клиентов и IP-адресах инфицированных компьютеров.