Avatar von Corvus Corax

mehr als 1000 Beiträge seit 25.03.2002

Und wie ist das mit dem Weiterverkauf von infizierten Systemen?

Bei Servern sieht man die Masche ja schon seit einigen Jahren.
Systeme werden infiziert, ein backdoor/rootkit oder manchmal auch nur eine gut versteckte Hintertür in einer Web-applikation aufgespielt, und dann passiert erstmal nichts - ausser das sich das infizierte System in einer Datenbank wiederfindet, wo es zusammen mit tausenden anderen zum Verkauf steht. Dort kann der zahlungswillige Kunde dann per Mausclick auf allen gekauften infizierten Webseiten maßgeschneiderte Adware, Malware oder Spamware schalten.

Anscheinend gibt es die Masche inzwischen aber auch schon für infizierte "Endkundengeräte" (also PC's, Workstations, eventuell sogar Mobiltelefone) die ebenfalls mit Malware infiziert werden, die aber nichts tut ausser ein Backdoor offen zu halten bzw mit einer gut versteckten Software hin und wieder bei einem command und control Server nachschauen.

Wenn jemand das System "kauft" wird aus dem u.U bereits seit längerem infizierten System dann plötzlich eine Spam oder Malwareschleuder, ein Bot in einem Botnetz, eine Wanze, die im Firmennetz nach weiteren interessanten Daten lauscht, oder auch zu einem lukrativen Erpressungsmodell indem die lokalen und im Netz auffindbaren Dateien verschlüsselt werden.

Je nach Bedarf und Zielsetzung des Kunden.

Ich hab auch scho Fälle gesehen bei denen der PC dann von einem Tag auf den anderen plötzlich mit Adware vollgemüllt wurde (vermutlich nicht in der Erst-verwertung sondern der darauffolgenden Verramschungsaktion)

Warum Exploit-kits vermieten, wenn man gleich fix und fertig infizierte Ziele anbieten kann.

Und das schöne daran, zum Zeitpunkt der eigentlichen Malware-infektion kann die ursprüngliche Infektions-lücke schon längst geschlossen sein, und derjenige der das System geseedet hat ist auch längst aus dem Schneider, da nach Wochen nicht mehr nachvollziehbar ist, wer das wann war. Er hat längst seine Bitcoins vom Zwischenhändler gekriegt.

Für den "Reaper" ist die Aktion aber auch ziemlich gefahrlos, da er ja keine Systeme ausspionieren muss und exploits durchprobieren - was ja auffällig wäre - sondern nur über einen wohldefinierten verschlüsselten Kanal vollautomatisiert seine Malware aktivieren.

Der Zwischenhändler dazwischen macht wiederum garnichts, als eine Liste als Hidden-service zu verwalten und Einträge weiterzu verkaufen, eventuell noch mit ein paar webapp-fähigkeiten zur automatischen Malware-installation. Gefahrloser gehts fast garnicht.

Bewerten
- +
Anzeige