Myebay-Malware bringt eine Featureliste mit

Die Malware der Angreifer hatte einen eigenen Namen: Myebay. Wie O'Murchu demonstrierte, wurde im Header der Malware stets eine Versionsnummer angezeigt, außerdem eine Liste der aktuellen Fähigkeiten. Neben den gefälschten Auktionen konnte die Malware auch nach Kreditkartennummern und Bankaccounts suchen und später auch Kryptomining betreiben.

Insgesamt hat die Gruppe über die Jahre rund 100 Malware-Samples herausgebracht, vom geschilderten Autoscam bis hin zum Kryptomining. Damit die Malware nicht einfach gestoppt werden konnte, machten die Betrüger bereits früh von sogenannten Domain-Generation-Algorithmen Gebrauch, um die Kommunikation zwischen Malware und Command-und-Control-Servern zu gewährleisten. Anders als bei anderer Malware werden die Domains also regelmäßig neu generiert und es werden keine hardcodierten URLs verwendet, was Ermittlungen erleichtert.

Nachrichten an Symantec

Als einige Versionen der Malware von Symantec und andere Virenscannern blockiert wurden und die Firma erstmals öffentlich über die Ermittlungen sprach, reagierten die Kriminellen nach Darstellung von O'Murchu mit subtilen und weniger subtilen Hinweisen im Code und Domains, die Bezug auf die Firma und ihre Mitarbeiter nahmen.

Um die Analyse zu erschweren, versuchte die Malware außerdem, Symantec-Umgebungen zu entdecken. Sandbox-Erkennung gehört heute zu den Standardfunktionen von Malware. Im Fall der Wannacry-Ransomware stoppte ein versehentlich vom Hacker Marcus Hutchins ausgelöster Sandboxschutz die weitere Verbreitung der Malware.

Um nach einem Betrug die Gelder auch tatsächlich zu bekommen, wird eine Infrastruktur benötigt. Im Jahr 2007 war Bitcoin dafür noch keine Alternative, daher nutzten die Bande eine andere, offensiv beworbene Kampagne.

Wenn ein Kunde erfolgreich hereingelegt wurde, transferierten die Angreifer das Geld schnell aus den USA heraus. Dazu nutzten sie im Internet angeworbene Personen, sogenannte Money-Mules. Diese sollten gegen Provision Geld auf Western-Union-Konten im Ausland, meist in Osteuropa, verschicken.

Harmlos aussehende Anzeigen

Die Anzeigen dazu sehen auf den ersten Blick recht harmlos aus. "Sie wollen Teilzeit arbeiten und 3.500 US-Dollar im Monat verdienen? Entdecken Sie die Möglichkeiten", heißt es etwa auf einer bei Yahoo Transfers geschalteten Anzeige. Es sei "keinerlei Expertise" notwendig.

Auf einer anderen Anzeige heißt es, man könne "ein Finanzagent von Google" werden. Dazu müsse man nur den "Start now"-Button betätigen und werde innerhalb kurzer Zeit kontaktiert. Das erscheint dann doch etwas unglaubwürdig bei einem Unternehmen, dass nach eigenen Angaben weniger als ein Prozent der Bewerber einstellt.

Aber auch die Geldboten waren nicht vor den Betrügereien der Bande sicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Cybercrime: Neun Jahre Jagd auf BayrobAuch die Geldboten wurden betrogen 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Cherrypicking bei Fahrdiensten
Uber-Fahrer, die nicht kommen

Die Unsitte, den Fahrgast anzurufen, um das Fahrziel herauszubekommen, schwappt von Free Now auch zu Uber über. Es hilft nur, eine Stunde früher aufzustehen, oder besser: ein Update der Apps.
Ein Erfahrungsbericht von Achim Sawall

Cherrypicking bei Fahrdiensten: Uber-Fahrer, die nicht kommen
Artikel
  1. Jugendschutz: Google macht Porno- und Gewaltdarstellungen unscharf
    Jugendschutz
    Google macht Porno- und Gewaltdarstellungen unscharf

    Der Suchmaschinenkonzern Google will das Surfen für Kinder sicherer machen. Die neue Standardeinstellung lässt sich aber problemlos ändern.

  2. Microsoft: Bing bekommt ChatGPT-Integration und kann getestet werden
    Microsoft
    Bing bekommt ChatGPT-Integration und kann getestet werden

    Microsoft hat KI-basierte Updates für die Bing-Suchmaschine und den Edge-Browser angekündigt. Die Beta ist schon verfügbar.

  3. Der Herr der Ringe: Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren
    Der Herr der Ringe
    Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren

    Die gesamte Gemeinschaft des Ringes versammelt sich in den Hallen von Bruchtal, das als Lego-Diorama Herr-der-Ringe-Fans erfreuen kann.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Powercolor RX 7900 XTX 1.119€ • WSV-Finale bei MediaMarkt • Samsung 980 Pro 2TB (PS5-komp.) 174,99€ • MSI RTX 4080 1.349€ • Samsung 55" 4K QLED Curved Gaming-Monitor -25% • Asus RX 7900 XT 939,90€ • DAMN-Deals: AMD CPUs zu Tiefstpreisen • PCGH Cyber Week nur bis 9.2. [Werbung]
    •  /