Myebay-Malware bringt eine Featureliste mit

Die Malware der Angreifer hatte einen eigenen Namen: Myebay. Wie O'Murchu demonstrierte, wurde im Header der Malware stets eine Versionsnummer angezeigt, außerdem eine Liste der aktuellen Fähigkeiten. Neben den gefälschten Auktionen konnte die Malware auch nach Kreditkartennummern und Bankaccounts suchen und später auch Kryptomining betreiben.

Insgesamt hat die Gruppe über die Jahre rund 100 Malware-Samples herausgebracht, vom geschilderten Autoscam bis hin zum Kryptomining. Damit die Malware nicht einfach gestoppt werden konnte, machten die Betrüger bereits früh von sogenannten Domain-Generation-Algorithmen Gebrauch, um die Kommunikation zwischen Malware und Command-und-Control-Servern zu gewährleisten. Anders als bei anderer Malware werden die Domains also regelmäßig neu generiert und es werden keine hardcodierten URLs verwendet, was Ermittlungen erleichtert.

Nachrichten an Symantec

Als einige Versionen der Malware von Symantec und andere Virenscannern blockiert wurden und die Firma erstmals öffentlich über die Ermittlungen sprach, reagierten die Kriminellen nach Darstellung von O'Murchu mit subtilen und weniger subtilen Hinweisen im Code und Domains, die Bezug auf die Firma und ihre Mitarbeiter nahmen.

Um die Analyse zu erschweren, versuchte die Malware außerdem, Symantec-Umgebungen zu entdecken. Sandbox-Erkennung gehört heute zu den Standardfunktionen von Malware. Im Fall der Wannacry-Ransomware stoppte ein versehentlich vom Hacker Marcus Hutchins ausgelöster Sandboxschutz die weitere Verbreitung der Malware.

Um nach einem Betrug die Gelder auch tatsächlich zu bekommen, wird eine Infrastruktur benötigt. Im Jahr 2007 war Bitcoin dafür noch keine Alternative, daher nutzten die Bande eine andere, offensiv beworbene Kampagne.

Wenn ein Kunde erfolgreich hereingelegt wurde, transferierten die Angreifer das Geld schnell aus den USA heraus. Dazu nutzten sie im Internet angeworbene Personen, sogenannte Money-Mules. Diese sollten gegen Provision Geld auf Western-Union-Konten im Ausland, meist in Osteuropa, verschicken.

Harmlos aussehende Anzeigen

Die Anzeigen dazu sehen auf den ersten Blick recht harmlos aus. "Sie wollen Teilzeit arbeiten und 3.500 US-Dollar im Monat verdienen? Entdecken Sie die Möglichkeiten", heißt es etwa auf einer bei Yahoo Transfers geschalteten Anzeige. Es sei "keinerlei Expertise" notwendig.

Auf einer anderen Anzeige heißt es, man könne "ein Finanzagent von Google" werden. Dazu müsse man nur den "Start now"-Button betätigen und werde innerhalb kurzer Zeit kontaktiert. Das erscheint dann doch etwas unglaubwürdig bei einem Unternehmen, dass nach eigenen Angaben weniger als ein Prozent der Bewerber einstellt.

Aber auch die Geldboten waren nicht vor den Betrügereien der Bande sicher.