Proofpoint-Analyse über den Hack von 500.000 Onlinebanking-Zugängen

Die Sicherheitsexperten bei Proofpoint haben einen neuen Bericht veröffentlicht, der eine Cybercrime-Organisation aufdeckt, die es auf die Online-Bankingdaten von Banken in den USA und Europa abgesehen hatte. Der Bericht von Proofpoint bietet einen ungewöhnlich deutlichen Einblick in die Infrastruktur, Werkzeuge und Methoden die es diesem Cybercrime-Ring ermöglichten, mehr als 500.000 PCs zu infizieren.

Die wichtigsten Fakten der Proofpoint-Analyse:

  • Die russischsprachige Crimeware-Gruppierung hat primär Systeme und Online-Bankingkonten in den USA angegriffen.
  • Das Qbot (aka Qakbot)-Botnet von 500.000 infizierten Systemen spähte Datenkommunikationen – einschließlich Kontozugangsdaten – für 800.000 Online-Banking-Transaktionen aus. Davon ließen sich 59 Prozent der ausgespähten Sitzungen Konten der fünf größten US-Banken zuordnen.
  • Die Angreifer infizierten WordPress-Websites mithilfe gekaufter Listen mit Administrator-Logindaten, mit denen sie Malware auf legale Websites laden konnten, über die dann die Clients infiziert wurden, die diese Websites besuchten.
  • Windows XP-Clients machen 52 Prozent der infizierten Systeme im Botnet der Crimeware-Gruppe aus, obwohl kürzliche Schätzungen davon ausgehen, dass Windows XP noch auf 20-30 Prozent aller Geschäfts- und Privat-Computer installiert ist. Microsoft hat seine Patches und Unterstützung für Windows XP im April 2014 eingestellt.
  • Der Ring griff auf bereits infizierte PCs zurück, um anderen organisierten kriminellen Gruppierungen einen ausgefeilten Proxy-Bezahldienst anzubieten. Dieser Dienst verwandelt die infizierten PCs in Einfallsschleusen für die Angreifer und Hosts für eine illegale „private Cloud“.

Der Bericht enthält zudem Details zu den Betriebssystemen, die die Angreifer am häufigsten infiziert haben, sowie eine spezifische Anleitung für Betreiber von WordPress-Websites zur Erkennung von Infektionen und zur Stärkung ihrer Websites gegen ähnliche Angriffe.

Um Einblick in die Architektur und Methoden zu erhalten, die die Angreifer verwenden um anfällige Websites zu manipulieren und die PCs argloser Besucher legitimer Websites innerhalb weniger Sekunden zu kapern können Sie den Report hier herunterladen.