Les chercheurs en sécurité de Proofpoint ont mis à jour un groupe de cybercriminels russes, qui s’appliquaient à cibler les informations de connexion bancaires associées à plusieurs banques en Europe et aux États-Unis.
Dans son rapport, Proofpoint propose une analyse particulièrement détaillée de cette attaque bancaire vue de l'intérieur avec un aperçu des techniques, outils et architectures auxquels les cybercriminels ont eu recours pour s’introduire sur des sites vulnérables et sur les ordinateurs d’internautes se rendant sur des sites web fiables, ce qui a permis à ce groupe de cybercriminels d’infecter plus de 500 000 PC de manière rapide et invisible.
Les données essentielles de l’analyse de l’éditeur :
· L’organisation criminelle russe a principalement pris pour cible des comptes bancaires et systèmes basés aux États-Unis.
· Le botnet Qbot (aussi appelé Qakbot), comprenant plus de 500 000 ordinateurs infectés, a permis aux attaquants d’accéder à 800 000 transactions bancaires en ligne et de dérober les informations de connexion liées. 59 % des sessions ainsi compromises appartenaient à cinq des plus importantes banques américaines.
· Les criminels se sont introduits sur les sites WordPress à l’aide de listes d’identifiants administrateur qu’ils ont achetées, et grâce auxquelles ils ont pu installer un logiciel malveillant sur des sites reconnus, afin d’infecter leurs visiteurs. Beaucoup de ces sites proposaient des newsletters ce qui a permis d’augmenter la portée de l’attaque grâce à la diffusion de contenus légitimes mais infectés.
· 52 % des systèmes infectés étaient des systèmes Windows XP.
· Les ordinateurs ainsi infectés étaient également utilisés pour proposer, à d’autres organisations criminelles, un service de proxy payant leur permettant d’utiliser les ordinateurs infectés comme points d’infiltration pour des attaques.
Ce rapport inclut également des informations se rapportant aux systèmes d’exploitation les plus couramment affectés utilisés lors de cette campagne, et des recommandations adressées aux propriétaires de sites WordPress (conseils sur la détection d’intrusions et mesures de protection contre de telles attaques). Pour en savoir plus sur le fonctionnement ce cette opération cybercriminelle (avec des capture d’écran de son architecture, et des exemples des codes et techniques utilisés par les cybercriminels pour compromettre des sites web et infecter les PC des visiteurs en utilisant des URL considérées comme fiables en quelques secondes) téléchargez le rapport complet, en anglais.
