Onlinemarktplatz für Malware und gehackte PCs

von Lars Bube (lars.bube@crn.de), Bernd Reder

Share
18.06.2009

Die IT-Sicherheitsexperten in den Labors von Finjan haben eine neue Onlineplattform der besonderen Art ausfindig gemacht: Cybergangster bieten auf »Golden Cash« gegen Gebühr Malware- und Angriffsprogramme, sowie den Zugang zu bereits gehackten PCs an.

Schon ab rund 25 Dollar sind 1.000 Zombie-Rechner zu haben.

Die Cyberkriminellen werden immer professioneller. Nicht nur im Programmieren der Viren selbst, sondern auch in ihrer Organisation: Das Malicious Code Research Center (MCRC) des AntivirenSoftware-Herstellers Finjan [1] hat jetzt mit »Golden Cash« sogar einen Onlinemarktplatz entdeckt, auf dem die (Black Hat) Hacker unter anderem den Zugang zu von ihnen infizierten und ferngesteuerten Rechnern anbieten. Diese können dann von den »Kunden« zum Beispiel dafür eingesetzt werden, um Spam zu versenden, oder Malware weiterzuverbreiten. Außerdem kann der geneigte Cybergangster dort auch Attack-Toolkits, Malware und Exploits erwerben, oder sie auch selbst anbieten.

Für ein kleines Botnetz mit bis zu 1.000 Zombie-Rechnern bezahlt Golden Cash laut Finjan zwischen 5 und 100 Dollar, je nach Standort der gekaperten Maschinen. Anschließend werden solche Pakete für rund 25 bis 500 Dollar weiterverkauft. In diesem Preis bereits inbegriffen ist die Bestückung mit einer »frischen Malware nach Wahl«, um die Zombies für die jeweiligen Machenschaften entsprechend vorzubereiten. Ganz wie im regulären Geschäftsleben gibt es dabei auch Bonuszahlungen für Partner, die neue Kunden für die Botnetze gewinnen. Wer sich hingegen lieber selbst ein Botnetz basteln will (z.B. um es später zu verkaufen), kann gegen Gebühr auf einen weitreichenden Fundus an Schadcode zurückgreifen, etwa Exploits sowie das Trojan-Zalupko-Attack-Toolkit.

Sicherheitsfachleute müssen leider draußen bleiben

Mittels Blacklists verhindern die Betreiber, dass Antivirenexperten sich Zugang zu Golden Cash verschaffen.

Wie Yuval Ben-Itzak, Chief Technology Officer von Finjan, ausführt, handelt es sich bei den auf Golden Cash gehandelten Botnetzen keineswegs nur um die Rechner unvorsichtiger Privatpersonen: »Ausgehend von der uns vorliegenden Liste der betroffenen PCs ist keine Firma oder Behörde vor den Machenschaften der Cyberkriminellen sicher.«.

Um sich vor »Spionage« durch Security-Firmen und –Experten zu schützen haben die Macher des Hacker-Onlineshops außerdem einige Blacklists mit eingebaut. Diese enthalten die IP-Adressen der wichtigsten Sicherheitsfirmen wie Symantec, G Data, Trend Micro, McAfee oder auch Finjan und verbieten ihnen den Zugriff. Will ein Mitarbeiter dieser Unternehmen etwa ein Toolkit herunterladen, um es zu analysieren, wird sein Zugang dadurch automatisch gesperrt.

Dass sich Cybercrime heutzutage zunehmend finanziell lohnt, zeigt neben Golden Cash auch ein Blick auf eine andere immer häufiger genutzte Technik: das Infiltrieren von Suchmaschinen, um Nutzern auf dubiose Web-Seiten umzuleiten. Dort werden beispielsweise »gefakte« Sicherheitsprogramme oder mit Malware unterlegte Software angeboten. Laut Finjan erhalten »Vertriebsmitarbeiter«, die Internet-Nutzer auf solche Seiten lenken, pro Redirection 9,6 US-Cent. In einem Fall wurden innerhalb von16 Tagen 1,8 Millionen User auf eine Web-Site gelockt, auf der getürkte Antiviren-Software angeboten wurde. Das macht einen Umsatz von rund 172.000 Dollar in etwas mehr als zwei Wochen.

[1] http://www.finjan.com/

Verwandte Artikel