Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un réseau de cybercriminalité russe démasqué par Proofpoint ou comment voler les accès à plus de 500 000 comptes bancaires

octobre 2014 par Proofpoint

Les chercheurs en sécurité de Proofpoint ont mis à jour un groupe de cybercriminels russes, qui s’appliquaient à cibler les informations de connexion bancaires associées à plusieurs banques en Europe et aux États-Unis. Dans un rapport, Proofpoint propose une analyse particulièrement détaillée de l’attaque vue de l’intérieur avec un aperçu des techniques, outils et architectures auxquels les cybercriminels ont eu recours pour s’introduire sur des sites vulnérables et sur les ordinateurs d’internautes se rendant sur des sites Web fiables, ce qui a permis à ce groupe de cybercriminels d’infecter plus de 500.000 PC de manière rapide et invisible.

Données essentielles de l’analyse Proofpoint :

· L’organisation criminelle russe a principalement pris pour cible des comptes bancaires et systèmes basés aux États-Unis.

· Le botnet Qbot (aussi appelé Qakbot), comprenant plus de 500 000 ordinateurs infectés, a permis aux attaquants d’accéder à 800 000 transactions bancaires en ligne et de dérober les informations de connexion liées. 59 % des sessions ainsi compromises appartenaient à cinq des plus importantes banques américaines.

· Les criminels se sont introduits sur les sites WordPress à l’aide de listes d’identifiants administrateur qu’ils ont achetées, et grâce auxquelles ils ont pu installer un logiciel malveillant sur des sites reconnus, afin d’infecter leurs visiteurs. Beaucoup de ces sites proposaient des newsletters ce qui a permis d’augmenter la portée de l’attaque grâce à la diffusion de contenus légitimes mais infectés.

· 52 % des systèmes infectés étaient des systèmes Windows XP alors que, selon les dernières estimations, seuls 20 à 30 % des ordinateurs professionnels et personnels sont dotés de Windows XP. Microsoft a cessé de proposer des correctifs ou mises à jour Windows XP en avril 2014.

· Les ordinateurs ainsi infectés étaient également utilisés pour proposer, à d’autres organisations criminelles, un service de proxy payant leur permettant d’utiliser les ordinateurs infectés comme points d’infiltration pour des attaques.

Ce rapport inclut également des informations se rapportant aux systèmes d’exploitation les plus couramment affectés utilisés lors de cette campagne, et des recommandations adressées aux propriétaires de sites WordPress (conseils sur la détection d’intrusions et mesures de protection contre de telles attaques).


Voir les articles précédents

    

Voir les articles suivants