(PCWorldVN) Proofpoint cho biết nhóm này nhắm đến những ngân hàng lớn ở Mỹ và châu Âu, chiếm đoạt được hơn 800.000 tài khoản trực tuyến.
Nhờ một lỗi sơ sót của nhóm tội phạm mạng dùng tiếng Nga mà một công ty bảo mật đã phát hiện được kế hoạch đánh cắp tài khoản đăng nhập của hàng trăm ngàn tài khoản ngân hàng trực tuyến.
Trong một báo cáo mới đây, Proofpoint cho rằng họ đã phát hiện ra số lượng lớn trang web WordPress bị tấn công, nhiễm một chương trình độc hại gọi là Qbot, còn có tên khác là Qakbot.
Proofpoint phân tích malware này và phát hiện có một giao diện điều khiển không được bảo vệ trên máy chủ, do kẻ tấn công chiếm quyền và điều khiển máy tính, và đây là lỗ hổng không mấy phổ biến.
Giao diện điều khiển này hiển thị rất nhiều thông tin về chương trình malware mà theo Proofpoint, họ nhận thấy có đến thông tin của 800.000 tài khoản ngân hàng trực tuyến, trong đó có 5 ngân hàng lớn nhất ở châu Âu và Mỹ.
52% máy tính bị nhiễm hiện đang chạy Windows XP, đây là tỉ lệ khá bất ngờ. Microsoft đã chính thức ngưng hỗ trợ Windows XP từ hồi tháng 4/2014 và không đưa ra bất kỳ bản vá nào nữa cho phiên bản này.
 |
| Proofpoint cho biết tin tặc Nga đã tạo một lượng lớn trang web để phát tán malware nhằm đánh cắp tài khoản ngân hàng người dùng. |
Hầu hết máy tính bị nhiễm cũng chạy Internet Explorer, là trình duyệt không được đánh giá cao lắm về mặt bảo mật.
Qbot sử dụng một kỹ thuật "câu" trình duyệt để đánh cắp dữ liệu ngân hàng. Các session ngân hàng trực tuyến được mã hoá sử dụng SSL/TLS (Secure Sockets Layer/Transport Security Layer) nhưng Qbot móc vào trình duyệt để đọc nội dung sau khi trình duyệt đã giải mã luồng dữ liệu.
Người dùng bị nhiễm sau đó đến một trang web WordPress hoặc trang web nào khác sẽ vô tình kích hoạt tấn công. Website chạy nền tảng WordPress rất được tin tặc lợi dụng vì tính phổ biến của nó và cũng vì nền tảng này ít đưa ra các bản vá lỗi bảo mật.
Ngoài việc đánh cắp thông tin ngân hàng của người dùng, kẻ tấn công cũng kiếm tiền từ những máy tính bị hack theo nhiều cách khác nhau.
Malware Qbot có một module gọi là "SocksFabric" để tạo một mạng ngầm. Những kẻ tội phạm mạng có thể thuê mạng này, biến máy tính bị tấn công như proxy để tráo đổi dữ liệu của chúng lòng vòng hoặc che dấu hành động của chúng trên mạng.
Proofpoint cho biết không thể biết được nhóm tin tặc này tấn đông bao nhiêu máy tính nhưng con số này là rất lớn.