A Stark Message to Cybercriminals: You Are Not Invisible, You Are Not Beyond the Law

Originalartikel von Ranieri Romera (Senior Threat Researcher)

An alle Cyber-Kriminellen: Ihr seid nicht unsichtbar. Ihr steht nicht über dem Gesetz.
Sicherheitsforscher beobachten Täglich auf der ganzen Welt die Aktivitäten, das Verhalten und die Forenkommunikation von Cyber-Kriminellen, um herauszufinden, wie digitale Dateien sicher ausgetauscht werden.

Neben dem Verhindern von Angriffen sammeln wir auch Informationen und geben sie an Strafverfolgungsbehörden weiter.Seit einer Weile schon ist trend Micror einem ganz bestimmten Kriminellen auf der Spur, den sie hier Mr L. Er späht nichtsahnende Anwender aus, und zwar überwiegend in Chile und Mexiko.Laut Trend Micro jüngsten Informationen ist er noch immer fleißig dabei, Daten und Geld zu stehlen. Erst letzte Woche haben sie einen aktiven C&C sowie andere kriminelle Tools entdeckt, darunter auch ein Tool, das auf einer personalisierten Version des CrimePack Exploit Pack basiert. Auch bei seinen früheren Bot-Netzen ist Mr L. so vorgegangen.

Das erste Bot-Netz, das Trend Micro gefunden hatte, hieß Tequila. Darauf folgten Mariachi sowie die Twitter-Bot-Netze Alebrije und Mehika. Zusammen sind diese Bot-Netze unter dem Namen „Botnet PHP family“ bekannt.

Die Angriffe begannen im Mai 2010. Damals erhielten Anwender in Mexiko eine E-Mail, dass es angeblich „Nacktfotos“ von der Mutter eines verschwundenen vierjährigen Mädchens gäbe. Mit diesem Köder wurden Anwender dazu gebracht, über einen bösartigen Link eine betrügerische Anwendung herunterzuladen.

Ein interessantes Ergebnis der Analyse von Trend Micro war, dass das Skript, mit dem der Bot-Client installiert wurde, ganz bestimmte Wörter und Begriffe enthielt. Damals konnten Trend Micro zwar noch nichts mit ihnen anfangen.

Bei den Nachforschungen suchte Trend micro nach einem aktiven C&C, den sie schließlich unter http://www.botnet.{GESPERRT}.tk/Admin fanden. Unter dieser URL fanden sie weitere Informationen über den Autor … Auf der Anmeldeseite warb er sogar für seine Dienste – und veröffentlichte seinen Namen, seine E-Mail-Adressen und seine Mobilnummer!

Nun hatten sie also einen Namen, zwei E-Mail-Adressen und eine Telefonnummer, die in der mexikanischen Stadt Guadalajara gemeldet war. So gelang es ihnen, Mr L. zu finden.

Wie bereits erwähnt, ist es eine Richtlinie von Trend Micro, alle relevanten Informationen zu kriminellen Aktivitäten an die Strafverfolgungsbehörden weiterzugeben.

Sollten Sie mit dem Gedanken spielen, auch kriminell tätig zu werden – tun Sie es nicht!

trend Micro ist Folgendes über Mr L. bekannt:

Er scheint 1987 geboren zu sein und bei Netec zu studieren. Er wohnt in Zapopan, Mexiko.
Trend Micro kennt seine Gmail- und Hotmail-Kontodaten.
Sie kennen auch die Angaben, Fotos, Benutzernamen und anderen Informationen, die er in Kontaktnetzwerken veröffentlichte.

Denkt immer daran: Was immer ihr im Internet tun, ob gut oder böse – Ihr hinterlassen immer eine Spur.

22.03.2011 15:33 Uhr

Quellen: http://blog.trendmicro.de & http://blog.trendmicro.com

PDF
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/discerning_relationships__september_2010_.pdf