近日,一个可疑的俄罗斯网络犯罪组织犯下的一个小错误,让其进入了安全公司的视线。深入挖掘后,他们惊讶地发现该组织已成功感染了50 万台设备并收集了80 万份网上银行凭证。根据安全厂商Proofpoint最新发布的报告,大量WordPress网站被迫妥协并执行Qbot签名代码,也称为Qakbot,这是一种危害性极高的恶意程序。
Proofpoint随后对该恶意程序进行了详细分析,并表示该犯罪集团已收集了超过80万条交易凭证,其中大部分来自美国排名前五的银行以及其他来自欧洲的银行。据报道,超过25%的感染该病毒的设备运行的是Windows XP。鉴于微软于2014年4月暂停了对Windows XP的支持,此次无疑成为了重灾区。
Qbot 使用一种名为“hooking”的浏览器技术来窃取网上银行帐户。尽管网上银行通常使用SSL/TLS 加密,但Qbot 可以嵌入到浏览器中并在传输后读取字符。当用户的设备感染了WordPress 网站后,在访问其他网站时也会被感染并被注入。