Les chercheurs en sécurité de Proofpoint ont mis à jour un groupe de cybercriminels russes, qui s’appliquaient à cibler les informations de connexions bancaires associées à plusieurs banques en Europe et aux États-Unis.

Dans un rapport, Proofpoint propose une analyse particulièrement détaillée de l’attaque vue de l'intérieur avec un aperçu des techniques, outils et architectures auxquels les cybercriminels ont eu recours pour s’introduire sur des sites vulnérables et sur les ordinateurs d’internautes se rendant sur des sites Web fiables, ce qui a permis à ce groupe de cybercriminels d’infecter plus de 500.000 PC de manière rapide et invisible.

Données essentielles de l’analyse Proofpoint :

• L’organisation criminelle russe a principalement pris pour cible des comptes bancaires et systèmes basés aux États-Unis.
• Le botnet Qbot (aussi appelé Qakbot), comprenant plus de 500 000 ordinateurs infectés, a permis aux attaquants d’accéder à 800 000 transactions bancaires en ligne et de dérober les informations de connexion liées. 59 % des sessions ainsi compromises appartenaient à cinq des plus importantes banques américaines.

• Les criminels se sont introduits sur les sites WordPress à l’aide de listes d’identifiant administrateur qu’ils ont achetées, et grâce auxquelles ils ont pu installer un logiciel malveillant sur des sites reconnus, afin d’infecter leurs visiteurs. Beaucoup de ces sites proposaient des newsletters ce qui a permis d’augmenter la portée de l’attaque grâce à la diffusion de contenus légitimes mais infectés.

• 52 % des systèmes infectés étaient des systèmes Windows XP alors que, selon les dernières estimations, seuls 20 à 30 % des ordinateurs professionnels et personnels sont dotés de Windows XP. Microsoft a cessé de proposer des correctifs ou mises à jour Windows XP en avril 2014.

• Les ordinateurs ainsi infectés étaient également utilisés pour proposer, à d’autres organisations criminelles, un service de proxy payant leur permettant d’utiliser les ordinateurs infectés comme points d’infiltration pour des attaques.

Ce rapport inclut également des informations se rapportant aux systèmes d’exploitation les plus couramment affectés utilisés lors de cette campagne, et des recommandations adressées aux propriétaires de sites WordPress (conseils sur la détection d’intrusions et mesures de protection contre de telles attaques).

Pour en savoir plus sur le fonctionnement de cette opération cybercriminelle (avec des captures d’écran de son architecture, et des exemples des codes et techniques utilisées par les cybercriminels pour compromettre des sites webs et infecter les PC des visiteurs en utilisant des URL considérées comme fiables en quelques secondes), télécharger le rapport complet.