De bibliotheek voor digitale criminaliteit | Cybercrimeinfo.nl | #CCINL

Utrechtse Malware maker mogelijk 1,5 jaar achter tralies

Gepubliceerd op 22 februari 2020 om 09:13

In dit programma was de gebruikersnaam achtergebleven. "Een klassieke fout"

Malware Microsoft Office-documenten

Een 21-jarige student informatiekunde uit Utrecht is aangeklaagd voor het ontwikkelen en verkopen van macro-malware en het in bezit hebben van tientallen gestolen creditcardgegevens. Volgens het Openbaar Ministerie ontwikkelde de man de macrobuilders 'Rubella', 'Catan' en 'Dryad'.

Een macrobuilder is een toolkit waarmee kwaadaardige macro's aan Microsoft Office-documenten worden toegevoegd. Zodra de ontvanger van het document ervoor kiest om macro's in te schakelen wordt er malware op het systeem geïnstalleerd. De politie kwam de man mede op het spoor dankzij onderzoek van twee bedrijven, waaronder het antivirusbedrijf McAfee.

'Rubella' werd op verschillende fora aangeboden. In één forumbericht toonde de ontwikkelaar van Rubella een screenshot van een Word-document met een kwaadaardige macro die niet werd gedetecteerd door 'Windows Defender'. John Fokker, een Nederlandse onderzoeker van McAfee, zag dat de ontwikkelaar een Nederlandstalige versie van Microsoft Word gebruikte. Iets wat opmerkelijk is, aangezien Nederlands niet veel voorkomt.

screenshot van een Word-document

Een klassieke fout

"Met dit in het achterhoofd besloten we verder te kijken", stelde Fokker vorig jaar. Het onderzoek leidde naar een programma dat de verdachte eerder had geschreven om e-mail mee te spoofen. In dit programma was de gebruikersnaam achtergebleven. "Een klassieke fout", merkte Fokker op. Aan de hand van de gebruikersnaam die in het programma werd gevonden besloten de onderzoekers naar andere malware te kijken die met dezelfde gebruikersnaam was ontwikkeld. Ze vonden een Office-document dat met Nederlandstalige versie van Word was gemaakt.

Uiteindelijk kwamen de onderzoekers uit bij een domein dat werd gebruikt voor het licentiebeheer van de verschillende macrobuilders die de verdachte ontwikkelde. Het beheerders paneel van dit domein was in het Nederlands. De informatie die de onderzoekers tijdens hun onderzoek verzamelen deelden ze met de Nederlandse politie.

Aangehouden

De student werd vorig jaar door agenten in burger aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Zo kreeg de politie toegang tot zijn systemen, aldus het OM. De verdachte heeft ook meegewerkt door onder meer inloggegevens aan de politie te verstrekken. Naast gegevensdragers heeft de politie voor ruim 22.000 euro aan bitcoins van de verdachte in beslag genomen. Hij heeft daarvan afstand gedaan.

Het Openbaar Ministerie heeft een gevangenisstraf van 18 maanden tegen de man geëist, waarvan 6 voorwaardelijk.

De rechtbank Rotterdam doet op 19 maart uitspraak.

Bron: security, om, mcafee


«   »