Sicherheitsforscher haben die Infrastruktur hinter einem der größten bisher entdeckten Trojanernetzwerke aufgedeckt. Das Qbot- oder auch Qakbot-Botnet hat demnach 500.000 Systeme infiziert. Danach zeichnete der Bankingtrojaner von rund 800.000 Banktransfers online die Zugangsberechtigungen auf – mehr als die Hälfte der betroffenen Vorgänge gehören zu Konten bei den fünf größten US-amerikanischen Banken.

US-amerikanische IP-Adressen umfassen 75 Prozent der infizierten Systeme. Auch Zugangsberechtigungen für Konten von europäischen Banken befanden sich im Visier der russischsprachigen Cyberkriminellen. Ursprünglich hatte die E-Mail-Sicherheitsfirma Proofpoint den Trojaner entdeckt. Die Gruppe nennt sich „Northern Gold“ und ist bereits seit 2008 aktiv.

Die Sicherheitsfirma gibt an, dass die Angreifer die Attacken von kompromittierten WordPress-Seiten starteten. Die Passwörter für diese kauften sie auf Märkten im Untergrund. Dann nutzten sie Taktiken, die der Drive-by-Download-Methode ähneln.

Rund 52 Prozent der durch das Botnet infizierten Systeme waren Windows XP Nutzer, Windows 7 umfasst 39 Prozent der Infektionen. Insgesamt wurde der Internet Explorer für 82 Prozent der erfolgreichen Infektionen genutzt.

Alle Versionen von Qbot sind unterschiedlich, diese Version erlaubt es neben dem Abfangen der Zugangsdaten auch, jegliche Malware herunterzuladen und auf dem System auszuführen. Wayne Huang von Proofpoint erklärt:

„Qbot beinhaltet das Modul ‚SocksFabric‘, welches auf SOCKS5 basierend ein Tunneling-Netzwerk aufbaut. Die Cyberkriminellen bieten diesen kostenpflichtigen Tunneling-Service an, damit andere entweder verschlüsselte Informationen stehlen oder gezielt Organisationen infiltrieren können. Durch diese Service-Vermietung haben sie sich eine zusätzliche Einnahmequelle geschaffen.“

Artikel von theregister.co.uk, 07.10.2014: Monster banking Trojan botnet claims 500,000 victims
Artikel von scmagazine.com, 07.10.2014: Group infects more than 500K systems, targets banking credentials in U.S.