Dollars zum Downloaden: Spyware, Botnets und Malware verbünden sich

Spyware-Verfasser bieten Botnet-Betreibern und Cyber-Kriminellen, die versteckt Spyware installieren, finanzielle Anreize

Das Verkaufen von „installs“ ist eine gängige Praxis in der Cyber-Unterwelt. Der spektakulärste Fall hat sich 2005 zugetragen, als Jeanson Ancheta verhaftet wurde, weil er ein 400.000 Rechner starkes Botnet aufgebaut und Adware von 180 Lösungen für 60.000 Dollar installiert hatte. Nun gehen die Kriminellen jedoch zu einer riskanteren Taktik beim Download von illegaler Spyware über, die entwickelt wurde, um die Antivirus-Erkennung zu umgehen.

Die erzielbaren Einnahmen wachsen mit der Anzahl von Installationen, was impliziert, dass die Spyware in Botnets zum Einsatz kommen soll und je nach geographischem Standort der Installation variiert. So bringt beispielsweise die Installation von Spyware auf 1.000 Rechnern in Australien 100 Dollar, aber nur 50 Dollar in den USA.

Die Download-Website lautet: hXXp://s5.installscash.org/ — . Diese Seite sollte man nur mit einem alternativem Browser- oder Betriebssystem – Firefox oder Mac – aufrufen!

Der Code wird zuerst einer Webseite zugeordnet, die eine Phishing-Site, eine gehackte Website, eine Hosting-Website auf einem Web-Server oder sogar eine Botnet-Hosting-Website sein kann. An die ins Visier genommenen Botnet-Computer werden dann Instruktionen versendet, die darauf abzielen, den Code herunterzuladen und auszuführen. Ist die Spyware einmal installiert, erfolgt eine Registrierung mit dem „Verkäufer“ und der „Affiliate“ wird ausbezahlt.

Die Vorgehensweise dieser Website erinnert an eine russische Website namens iframedollars.biz, die bis vor kurzem existierte. Durch das Hinzufügen einer simplen Codezeile wird eine HTML-Seite einen Drive-by-Install-Vorgang aktivieren und Spyware auf die Computer aller Besucher dieser Website installieren. MessageLabs hat über dieses Phänomen im Mai 2007 berichtet, als aufkam, dass erstaunliche 11.890 Dollar in nur einer Woche ausbezahlt wurden.

Während MessageLabs noch nicht identifiziert hat, wie die herunter geladene Spyware genau vorgeht, erhält diese alle drei Tage ein Update, um die Erkennung zu verhindern. Auf der Website steht: „Our program (size: 3 Kb) is loaded to the user and it changes the homepage and installs toolbar and dialer. It’s activated and revealed in 15-30 minutes after download.“

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.