В конце апреля исследователи Symantec зарегистрировали увеличение числа компьютеров, заражённых вирусом Qakbot, до 200000. По словам Викрама Такура, главы консультационной группы отдела исследований угроз компании Symantec, активность этого вируса возрастает каждые 3-6 месяцев, но редко превышает 50000 заражённых систем.

"Сложившаяся ситуация определённо требует внимания, учитывая, что код вируса постоянно обновлялся на протяжении последних нескольких лет, - говорит Такур. - Эта угроза является довольно большой проблемой для корпораций из-за способа распространения вируса в корпоративной среде".

Недавно у Qakbot был замечен действительный цифровой сертификат, позволяющий ему маскироваться под безопасное ПО - такую же технику ранее использовал червь Stuxnet. По словам Такура, вирус распространяет свой код с заражённых веб-сайтов. Как только вирус оказывается внутри корпоративной сети, он начинает распространяться подобно сетевым червям - через открытые сетевые папки и внутренние веб-сайты, которые, как правило, защищены заметно слабее, чем сервисы, доступные извне.

Оказавшись на компьютере, Qakbot крадёт банковские данные и другие файлы. Вредоносная программа позволяет кибер-преступникам, контролирующим ботнет, вводить транзакции в онлайновые банковские сессии и переводить деньги со счетов жертв.

Из-за успешных действий вируса внутри корпоративных сетей он также может быть использован для кражи корпоративных данных. Однако, банковские данные для кибер-преступников остаются наиболее доступным источником денег, поэтому, скорее всего, кибер-преступники будут продолжать действовать именно в этом направлении.

"Конечная цель этого вируса, как и почти всех других вредоносных программ - сделать деньги, - говорит Такур. - И эти ребята используют наиболее доходные данные, до которых они могут добраться".