Ruska kriminalna grupa kompromitovala pola miliona računara

Vesti, 09.10.2014, 09:42 AM

Ruska kriminalna grupa ukrala je korisnička imena i lozinke za stotine hiljada online bankovnih računa, otkrili su stručnjaci firme Proofpoint.

Proofpoint je otkrio veliki broj kompromitovanih WordPress web sajtova sa kojih se pokreću drive-by download napadi malvera Qbot, poznatog i pod nazivom Qakbot.

Proofpoint je analizirao malver i otkrio nazaštićeni kontrolni panel na serveru koji koristi kriminalna grupa, što je pružilo priliku stručnjacima da analiziraju ovu kampanju.

Tako su istraživači saznali da su ruski sajber kriminalci uspeli da prikupe lozinke za 500000 online bankovnih računa, i to većinom korisnika pet najvećih američkih banaka i nekih banaka iz Evrope.

Više od polovine kompromitovanih računara su računari sa Windows XP, što ne iznenađuje s obzirom da je reč o operativnom sistemu koji od aprila 2014. ne dobija zakrpe za sigurnosne propuste.

Većina kompromitovanih računara koristi Internet Explorer, a poznato je da je za ovaj browser dostupno mnogo različitih exploita.

Qbot koristi tehniku nazvanu “browser hooking” za krađu bankarskih kredencijala. Iako su online bankarske sesije su zaštićene SSL/TLS enkripcijom, Qbot zahvaljujući pomenutoj tehnici uspeva da pročita sadržaj pošto browser dešifruje saobraćaj.

Korisnici inficiraju računare kada posete neki WordPress sajt ili neke druge sajtove koji su “opremljeni” za napad. WordPress web sajtovi su omiljeni hakerima ne samo zbog njihove široke upotrebe, već i zbog toga što je lako naći sajt sa starijom, nebezbednom verzijom WordPressa.

Za infekciju računara dovoljna je poseta kompromitovanom sajtu a korisnik neće ni primetiti šta se dogodilo.

S obzirom na veliki broj kompromitovanih online bankovnih računa, ova kriminalna grupa ima velike mogućnosti za zaradu, iako nije moguće utvrditi koliko je do sada zaradila.