Onderzoekers van RSA hebben een Trojaans paard ontdekt dat alleen zakelijke bankrekeningen probeert te plunderen. De malware, Qakbot genaamd, heeft volgens onderzoekers een aantal unieke eigenschappen, die niet eerder bij 'financiële crimeware' zijn ontdekt. Qakbot probeert voornamelijk zakelijke klanten van Amerikaanse banken aan te vallen, maar zou ook een aantal niet-Amerikaanse financiële instellingen op de korrel nemen. "Daarnaast is de Qakbot de eerste Trojan die exclusief zakelijke rekeningen bij deze financiële instellingen aanvalt", aldus RSA.

Via deze rekeningen is veel meer geld te stelen dan bij consumenten is te vinden. Hoe Qakbot precies het geld uit de rekeningen steelt wordt nog onderzocht. Zo wordt er geen HTML of JavaScript code geïnjecteerd, of een Man-in-the-Browser toegepast, die normaal worden gebruikt voor het omzeilen van twee-factor authenticatie.

Een ander uniek kenmerk is dat Qakbot ontworpen is om zich als een worm te verspreiden en meer machines tegelijkertijd infecteert, maar vervolgens gegevens als een gewone banking Trojan buitmaakt. De malware richt zich op gedeelde netwerkmappen en kopieert het uitvoerbare bestand naar deze locaties. "Hoewel niet origineel, is de worm/Trojan combinatie zeldzaam en zelden zeer effectief."

Datadief
Qakbot steelt ook andere gegevens, zoals systeeminformatie (IP-adres, DNS server, land, staat, stad, geinstalleerde software, etc.), Seclog (HTTP/S POST requests) en Protected Storage (opgeslagen informatie in Internet Explorer en auto complete inloggegevens, zoals gebruikersnamen, wachtwoorden en surfgeschiedenis). De malware werd ook bij een Britse zorgverlener aangetroffen, waar het 1.100 machines had besmet en 4GB aan Facebook, Twitter, Hotmail, Gmail en Yahoo inloggegevens had gestolen.

RSA ontdekte dat de malware over verschillende eigenschappen beschikt om niet te worden onderzocht. In totaal worden er zeven tests uitgevoerd om te voorkomen dat beveiligingsbedrijven Qakbot reverse engineeren.