Verbrecherbande bis nach Nigeria verfolgt

Trend Micro hat die Ergebnisse einer Untersuchung über die Aktivität einer nigerianischen Verbrechergruppe veröffentlicht, die Phishing betreibt, „nigerianische“ Mails versendet und Anwenderdaten sammelt – mit Hilfe des Trojaners ZeuS und einer seiner Spielarten, bekannt unter dem Namen Ice IX. Den Experten ist es gelungen, drei Mitglieder dieser Gruppierung, die noch auch freiem Fuß sind, sowie mehrere Malware-Steuerungszentren zu identifizieren. Nach Ansicht der Spezialisten ist diese Bande Teil einer größeren Organisation, die in verschiedenen Ländern aktiv ist.

Die von Trend Micro durchgeführten Ermittlungen haben gezeigt, dass alle Mitglieder der Gruppe in Nigeria ansässig sind, größtenteils in Laos. Ihr Vorgehen ist aufeinander abgestimmt, innerhalb der Gruppe sind die Aufgaben aufgeteilt und sie tauschen untereinander sowohl Informationen als auch das Instrumentarium aus. Ihr geografisches Angriffsspektrum ist breit gefächert und umfasst Indien, die USA und Deutschland.

Zwei der drei identifizierten Komplizen sind für die Verbreitung der Trojan-Banker und für das reibungslose Funktionieren der auf ihnen basierenden Botnetze verantwortlich. Diese „Techniker“ gewährleisten das Webhosting, registrieren und kapern Domains, bauen C&C-Server als Ersatz für blockierte auf und tun all dies sehr schnell und effektiv. Alle von Ice IX verwendeten Domains gehören zur TLD-Zone co.za (Südafrika); die Zahl der Botnetze ist nicht besonders hoch – von einem Dutzend bis zu zweihundert. Bemerkenswert ist, dass die Gangster zur Verbindung mit dem C&C lokale infizierte Computer verwenden, die in diesem Fall als SOCKS-Proxy fungieren, wobei die Botmaster das als ausreichend erachten, um alle Spuren zu verwischen.

Der dritte nigerianische Bürger, der identifiziert werden konnte, versendet gefälschte Mails, in denen er sich als Mitarbeiter einer großen Bank ausgibt und die Empfänger um Hilfe bei der Ausfuhr gewisser nicht abgerufener Bankeinlagen ins Ausland bittet. Solche Mitteilungen zielen darauf ab, den Adressaten in einen Briefwechsel zu verstricken, im Zuge dessen ihm unter verschiedenen Vorwänden Geld und persönliche Daten, unter anderem finanzieller Natur, abgeluchst werden. Die Spam-Versendungen dieser organisierten Verbrechergruppe werden mit Hilfe eines speziellen Tools umgesetzt, das als PHP-Mailer bekannt ist und mehrere Adressenlisten verwendet. In zweien von ihnen zählte Trend Micro insgesamt mehr als 1 Million amerikanische und kanadische Adressen.

Die Experten entdeckten zudem drei Varianten von Phishing-Seiten, die von dieser Gruppierung erstellt wurden. Eine ist als der Webservice Scottrade.com getarnt, dessen Besitzer ein amerikanisches Privatunternehmen ist, das als Vermittler im Einzelhandel fungiert. Die anderen Fälschungen der Phisher kommen als Registrierungsformular des in Korea beliebten Suchsystems Daum.net oder der weithin bekannten Kontakt-Website Match.com daher.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.