Dans la nuit du 29 au 30 août, Sunbelt a découvert que le site de la Bank of India, bankofindia(dot)com était compromis. Sa page principale contenait un IFRAME caché (origine de l’image : SunbeltBLOG) entraînant le téléchargement et l'installation de nombreux programmes malveillants sur les machines des visiteurs du site par le biais de la vulnérabilité MS06-042.
Plus d'une vingtaine de fichiers malveillants étaient alors susceptibles d’être implantées par le biais d'autres vulnérabilités et d’un downloader (JS/Downloader-AUD). McAfee annonce sur son blog que VirusScan détecte ces intrus sous les noms suivant :
Spy-Agent.bv.gen
- Proxy-Agent.o
- PWS-Goldun
- PWS-LDPinch
- Generic BackDoor.u
- Generic Downloader.ab
- Generic.dx
- Generic RootKit.a
Une fois compromise, la machine devient émettrice de spam ; elle contient également divers outils permettant aux pirates de capturer de nombreuses informations dont, bien entendu, les coordonnées bancaires des individus qui se connectant à leur banque. Celles-ci étaient retransmise sur un serveur FTP localisé en Russie. Les cyber-criminels qui se cachent derrière cette attaque semblent liés au groupe RBN (Russian Business Network).
