Qbot Botnet can thiệt vào 800.000 giao dịch ngân hàng từ hơn 500.000 hệ thống

Một mạng lưới máy tính bị lây nhiễm mới, gọi là Qbot, bao gồm hơn nửa triệu máy tính và được sử dụng chủ yếu để ngăn chặn các phiên giao dịch ngân hàng trực tuyến của 5 trong số các ngân hàng lớn nhất ở Mỹ.

Khi một hệ thống bị lây nhiễm, nhiều phần của phần mềm độc hại được phát tán, để đảm bảo rằng việc phát hiện một mối đe dọa không ảnh hưởng đến kiểm soát máy tính, điều này giúp cho Qbot trở thành một botnet rất ổn định.

Những kẻ đứng đằng sau chiến dịch lây nhiễm máy tính này được cho là một nhóm tội phạm mạng Nga.

Chúng kiểm soát để chặn các kết nối trong 800.000 giao dịch ngân hàng trực tuyến được mã hóa, 59% trong số đó liên quan đến tổ chức tài chính tại Mỹ.

Tội phạm mạng lây nhiễm các trang web để tiếp cận máy tính

Các nhà nghiên cứu tại Proofpoint phát hiện ra botnet Qbot và cố gắng đạt được quyền truy cập vào bảng điều khiển mạng, từ đó họ thu thập được thông tin chi tiết khác nhau.

Họ xác định rằng ít nhất 520.000 máy tính trở thành “nô lệ” dựa trên thực tế là Qbot, phần mềm độc hại ban đầu được sử dụng bởi những kẻ tấn công, tạo ra một danh tính duy nhất cho mỗi máy tính bị nhiễm.

Kiểm soát số lượng hệ thống này là một phương thức phức tạp liên quan tới việc xâm nhập các trang web WordPress. Theo Proofpoint, tội phạm mạng phải mua danh tính để đăng ký các hosting cpanel được chia sẻ và tài khoản FTP.

Sau khi lọc ra các cặp không làm việc, chúng đăng nhập vào các trang web hợp pháp và lây nhiễm các webshells để quản lý tập tin dựa trên web và cho phép kẻ tấn công kiểm soát trên cả máy chủ của mình và máy bị tấn công.

Khách truy cập các trang web bị lây nhiễm cũng bị ảnh hưởng bởi bộ dụng cụ khai thác như Sweet Orange, thứ sẽ chèn Qbot trên máy tính và tăng cường hoạt động của botnet này.

Botnet được dùng như cơ sở hạ tầng cho hoạt động tội phạm

Với một mạng lưới rộng lớn trong tay, những kẻ khai thác chia sẻ tiềm lực của mình với các nhóm tội phạm mạng khác để kiếm lợi nhuận.

Các nhà nghiên cứu tìm thấy bằng chứng của một mô-đun trong Qbot gọi SocksFabric, có thể tạo ra “Một mạng lưới đường hầm lớn dựa trên SOCKS5″. Mô đun này có thể được sử dụng để chuyển dữ liệu bị đánh cắp hoặc xâm nhập vào mạng công ty bằng cách sử dụng một trong các máy tính bị xâm nhập.

Những kẻ tấn công có thể thuê SocksFabric trong một khoảng thời gian và tiến hành các hoạt động bất chính của chúng thông qua mạng lưới Qbot của máy tính bị lây nhiễm.

Các nhà nghiên cứu cho biết những kẻ tấn công trong khoảng thời gian thuê trên mạng có thể kiểm tra các tài khoản tín dụng chúng có được sau khi đăng nhập vào một bảng điều khiển và chọn định tuyến kết nối của chúng, dựa trên các thông số như quốc gia, tiểu bang, thành phố, địa chỉ IP, tên DNS, hoặc bot ID.

Proofpoint thu hút sự chú ý là thực tế một số máy tính bị gây hại có thể nằm bên trong các công ty. “Cần lưu ý rằng dịch vụ này không chỉ được dùng như một dịch vụ ẩn danh: một số máy tính trong các tổ chức bị nhắm mục tiêu có thế hoạt động như điểm xâm nhập dễ dàng cho bọn tội phạm mạng”, họ cho biết.

Những ai là nạn nhân?

Công ty an ninh trên nói rằng một băng đảng Nga đứng đằng sau toàn bộ hoạt động và hầu hết các nạn nhân của Qbot  được xác nhận ở Mỹ, chiếm 75% tổng số.

Các quốc gia khác trên bản đồ với số lượng lây nhiễm ngày càng tăng bao gồm Anh, Canada và Italy. Tuy nhiên, mỗi nước trong số này chiếm  ít hơn 5% các vụ lây nhiễm.

Hầu hết các nạn nhân chạy Windows XP (52%), nhưng một phần lớn trong tổng số (39%) sử dụng Windows 7 thông dụng. Điều này cho thấy Microsoft vẫn có rất nhiều rắc rối chấm dứt hệ điều hành, bất chấp những vấn đề nghiêm trọng về an ninh.

Softpedia