Les chercheurs en sécurité de Proofpoint a récemment publié «Analyse d'une infrastructure de la cybercriminalité,"Où ils ont révélé le botnet QBOT a infecté 500,000 systèmes et reniflé 800,000 transactions bancaires. 59% de ces opérations sont des comptes de cinq des plus grandes banques aux États-Unis.
Les experts ont une raison de croire que le groupe de cybercriminalité est russophone et visait apparemment comptes bancaires par les Etats-Unis principalement.
Comment fonctionne QBOT botnet
QBOT panneau de commande du botnet
Proofpoint experts ont réussi à accéder au réseau de hackers et voici ce qu'ils ont trouvé:
Pour faire passer sa présence, QBOT botnet infecte le système d'abord, puis insère une charge de malware en elle. De cette façon,, prendre le contrôle de l'ordinateur infecté ou de protection, il devient presque impossible.
→Proofpoint a vu que ces systèmes sont non seulement efficaces, mais flexible: en raison de l'utilisation d'un "compte-gouttes" mises en place plutôt que d'une seule pièce de logiciel malveillant, l'ordinateur compromis peut être équipée avec plusieurs éléments de malware, aider le malware en évitant la détection de signature (si un élément est détecté, d'autres peuvent ne pas être) ainsi que pour assurer le système compromis peut être utilisé de plusieurs façons,"L'analyse dit.
Selon le rapport, les cyber-criminels Sites WordPress compromis, les logiciels malveillants téléchargés dans les, et lorsque les clients ont visité ces sites, ils ont été infectés trop. Bulletins avec contenu infecté distribués par ces sites WordPress ont également été utilisés pour propager des programmes malveillants. Heureusement, le rapport contient des instructions pour les utilisateurs de WordPress sur la façon de détecter les infections et de protéger leurs sites Web.
Les chercheurs ont découvert que au moins 520,000 ordinateurs ont été réduits en esclavage comme les logiciels malveillants utilisés par les pirates génère des identifiants uniques pour chaque système infecté. Ainsi, il est sûr de dire que la prise de contrôle sur une telle quantité de machines via des sites WordPress compromis est une élaboration d'une énorme bande de pirates.
Un autre fait intrigant sur le botnet QBOT est que 52% des systèmes infectés appartiennent aux utilisateurs de Windows XP, et 39% – Windows 7 utilisateurs. Apparemment, Microsoft a encore beaucoup à travailler sur sa sécurité.
Les experts ont pu déterminer que les assaillants sont Russes ciblent principalement les transactions bancaires américaines. Les Russes, cependant, coopéré avec d'autres pays comme la Grande-Bretagne, Canada et l'Italie. La société de sécurité est certain que la motivation principale des cybercriminels est purement financier ciblé vers les comptes financiers et ayant une large gamme d'options pour monétiser les ordinateurs infectés.