Группа русскоязычных хакеров была вычислена ИТ-компанией Proofpoint в результате ошибки, допущенной первыми. Как сообщили в Proofpoint, конечной целью хакеров было похищение реквизитов доступа к популярным системам онлайн-банкинга.
В отчете Proofpoint сказано, что хакерам удалось скомпрометировать большое количество сайтов на базе платформы Wordpress, инициировав атаку типа Drive-By при помощи ботсети Qbot, а также вредоносного программного обеспечения Qakbot.
Proofpoint проанализировала вредоносное программное обеспечение и установила, что оно использует незащищенную контрольную панель на удаленном сервере для сбора воруемых данных. В компании говорят, что это довольно непрофессиональная и редкаая ошибка хакеров.
Контрольная панель содержала данные о почти 800 000 собранных парах логин-пароль, многие из которых были действующими и привязаны к системам онлайн-банкинга европейских и американских банков.
Qbot использовал технику, известную как Hooking для кражи онлайн-реквизитов. Сессии систем онлайн-банкинга используют шифрование SSL/TLS, однако Qbot допускал ряд ошибок, связанных с передачей информации, после того как браузер зашифровал данные для передачи.
«Когда браузер конечного пользователя компрометировался атакующими, скрипты, добавляемые хакерами, вызывали переход на сторонние страницы и запуск нежелательного программного обеспечения», - говорится в данных.
В выявленной кампании также использовалось программное обеспечение SocksFabric для туннелирования сети. Сеть бралась в аренду киберпреступниками и сдавалась в субаренду для проведения других незаконных операций.
По материалам CyberSecurity.ru