Qbot
Методично выстраивая колоссальный ботнет, злоумышленники смогли в течение нескольких лет маскировать его так, чтобы избежать внимания разработчиков средств безопасности

По мнению исследователей, зомби-сеть создана злоумышленниками из России, при разработке вредоноса они воспользовались брешью в операционных системах Windows XP и Windows 7.

Еще год или два назад гигантские масштабы сети Qbot, которая строилась примерно шесть лет, вызвали бы волну обеспокоенных публикаций. Но в последнее время «стандарты», похоже, выросли. Сегодня СМИ пишут о гораздо более серьезных «достижениях» киберпреступников, например таких, как раскрытая недавно атака на банк JPMorgan Chase. Ботнеты же начинают казаться проблемой вчерашнего дня.

Однако в докладе Proofpoint есть примечательный момент — описание сложной бизнес-модели, сооруженной злоумышленниками. Методично выстраивая колоссальный ботнет, они смогли в течение нескольких лет маскировать его так, чтобы избежать внимания компаний — разработчиков средств безопасности.

Схема заключалась в компрометации легитимных сайтов на платформе Wordpress с помощью купленных у других хакеров верительных данных. Затем с самих же взломанных сайтов рассылались фишинговые письма со ссылками, при заходе на которые устанавливались пакеты эксплойтов для браузеров и популярных программных компонентов — Java, Adobe Reader, Flash. При этом расчет делался на то, чтобы заражать компьютеры в определенных географических регионах.

Главной добычей атакующих были верительные данные для доступа к банковским сайтам — на них приходилась половина всего «бизнеса». Кроме того, злоумышленники продавали другим криминальным личностям доступ к скомпрометированным компьютерам в различных организациях. Помимо того, зараженные машины использовались как посреднические для организации других атак.

Похоже, операторы ботнета не жалели усилий на защиту своего маленького «гешефта», воссоздавая заново различные участки цепочки организации атаки всякий раз, когда те оказывались на радарах антивирусных систем.

Поражает невероятная легкость, с какой операторы Qbot находили своих жертв, 75% которых живут в США. При этом 52% из них пользуются XP, 39% — Windows 7 и 7% — Vista. Британская популяция зараженных ПК, по данным Proofpoint, поменьше, но тоже немаленькая — 15 тысяч.

«Поскольку зараженных клиентских систем насчитывается около полумиллиона, а число украденных аккаунтов для доступа к банковским сайтам составило порядка 800 тыс., то можно предположить, что данная группировка киберпреступников нажила на своей деятельности колоссальные деньги», — говорится в аналитическом отчете исследователей.

В Proofpoint дают советы, как избавить систему от инфекции, но большой пользы от них тем, кто все еще не отказался от XP, вероятно, не будет — заплат для этой ОС больше нет, вполне возможны повторные заражения. Более ценными представляются советы Proofpoint для владельцев сайтов на Wordpress — о том, как обнаружить факт взлома и устранить вредоносы.