Выявлена вредоносная сеть из более чем 500 000 компьютеров

// CyberSecurity.ru // — Группа русскоязычных хакеров была вычислена ИТ-компанией Proofpoint в результате ошибки, допущенной первыми. Как сообщили в Proofpoint, конечной целью хакеров было похищение реквизитов доступа к популярным системам онлайн-банкинга.

В отчете Proofpoint сказано, что хакерам удалось скомпрометировать большое количество сайтов на базе платформы WordPress, инициировав атаку типа Drive-By при помощи ботсети Qbot, а также вредоносного программного обеспечения Qakbot.

Proofpoint проанализировала вредоносное программное обеспечение и установила, что оно использует незащищенную контрольную панель на удаленном сервере для сбора воруемых данных. В компании говорят, что это довольно непрофессиональная и редкаая ошибка хакеров.

Контрольная панель содержала данные о почти 800 000 собранных парах логин-пароль, многие из которых были действующими и привязаны к системам онлайн-банкинга европейских и американских банков.

Qbot использовал технику, известную как Hooking для кражи онлайн-реквизитов. Сессии систем онлайн-банкинга используют шифрование SSL/TLS, однако Qbot допускал ряд ошибок, связанных с передачей информации, после того как браузер зашифровал данные для передачи.

«Когда браузер конечного пользователя компрометировался атакующими, скрипты, добавляемые хакерами, вызывали переход на сторонние страницы и запуск нежелательного программного обеспечения», – говорится в данных.

В выявленной кампании также использовалось программное обеспечение SocksFabric для туннелирования сети. Сеть бралась в аренду киберпреступниками  и сдавалась в субаренду для проведения других незаконных операций.


Поделиться ссылочкой: