Politie pakt Utrechter op voor het ontwikkelen van Malware

Gepubliceerd op 17 juli 2019 om 13:37
Politie pakt Utrechter op voor het ontwikkelen van Malware

De politie heeft een 20-jarige man aangehouden op verdenking van het ontwikkelen en verkopen van malware.

Bij de jonge Utrechter kon je programma’s kopen met namen als Rubella, Cetan en Dryad waarmee onder andere in word- en excel-bestanden verborgen code of malware ingebouwd konden worden. In verband met het onderzoek kon de aanhouding niet eerder bekend gemaakt worden door politie en Landelijk Parket.

De man opereerde op hackersfora onder veel verschillende namen. Uiteindelijk bleken al die namen te leiden naar de Utrechter die werd aangehouden terwijl hij achter zijn computer zat. De politie kwam de man mede op het spoor dankzij onderzoek van twee particuliere bedrijven, waaronder het cybersecurity-bedrijf McAfee.

De verdachte ontwikkelde en leverde onder andere de macro builder Rubella, die hij voor een prijs variërend van enkele honderden tot enkele duizenden euro’s verkocht. Een macro builder is een toolkit die is ontworpen om aan ​​gangbare Office-documenten zoals excel en word een stuk verborgen code toe te voegen. Wanneer een dergelijk geïnfecteerd document door een gebruiker werd geopend, dan werd de verborgen code uitgevoerd. Daarmee kon bijvoorbeeld (heimelijk) malware worden gedownload of lokaal een programma worden gestart. Deze documenten werden door de macro builder zo ontworpen dat deze doorgaans niet door een virusscanner werden gedetecteerd.

De verspreiding van dergelijke malware verloopt veelal via een e-mail waaraan een geïnfecteerd document als bijlage wordt toegevoegd. Met een vertrouwenwekkend bericht wordt een potentieel slachtoffer vervolgens verleid om de bijlage te openen. Feitelijk gaat het hier ook om een vorm van phishing, maar is het wel heel lastig je hiertegen te beschermen, aldus THTC en de verantwoordelijke officier van justitie van het Landelijk Parket. In ieder geval is het advies niet standaard dergelijke bestanden te openen, te bekijken of te downloaden, en alle updates van beveiligingssoftware op gegevensdragers uit te voeren.

Bij de verdachte zijn verder gegevens gevonden van tientallen credit cards en handleidingen over carding, een vorm van creditcardfraude. De jongeman had ook van duizenden sites toegangsgegevens. Wat hij daarmee van plan was, is niet bekend.

De verdachte heeft in ieder geval voor zo’n 20.000 euro aan cryptomunten als bitcoins verzameld. Die zijn in beslag genomen. Er loopt nog onderzoek of de jongeman nog meer (wederrechtelijk) verdiend heeft. Uiteindelijk zal er ook een ontnemingsvordering komen.

De officier heeft inmiddels besloten dat de verdachte zich voor de rechter moet verantwoorden. Wanneer de zaak op zitting komt is nog niet bekend.

Bron: om.nl

Nederlandse taal leidde McAfee naar vermeende cybercrimineel

Een Nederlandstalige versie van Microsoft Word leidde onderzoekers van antivirusbedrijf McAfee naar een vermeende Utrechtse cybercrimineel die uiteindelijk door het Team High Tech Crime van de politie werd aangehouden.

John Fokker, een Nederlandse onderzoeker van McAfee, zag dat de ontwikkelaar een Nederlandstalige versie van Microsoft Word gebruikte. Iets wat opmerkelijk is, aangezien Nederlands niet veel voorkomt. Vorig jaar werd bekend dat de makers van de CoinVault-ransomware mede werden opgepakt omdat ze foutloos Nederlands schreven. "Met dit in het achterhoofd besloten we verder te kijken", zegt Fokker in een blogposting.

Het onderzoek leidde naar een programma dat de verdachte eerder had geschreven om e-mail mee te spoofen. In dit programma was de gebruikersnaam achtergebleven. "Een klassieke fout", merkt Fokker op. Aan de hand van de gebruikersnaam die in het programma werd gevonden besloten de onderzoekers naar andere malware te kijken die met dezelfde gebruikersnaam was ontwikkeld. Ze vonden een Office-document dat met Nederlandstalige versie van Word was gemaakt.

Uiteindelijk komen de onderzoekers uit bij een domein dat wordt gebruikt voor het licentiebeheerder van de verschillende macrobuilders die de verdachte ontwikkelde. Het beheerderspaneel van dit domein was in het Nederlands. De informatie die de onderzoekers tijdens hun onderzoek verzamelen delen ze met de Nederlandse politie, die de verdachte uiteindelijk kan aanhouden. "De politie kwam de man mede op het spoor dankzij onderzoek van twee particuliere bedrijven, waaronder McAfee", aldus het Openbaar Ministerie.