Malware-Verteiler werden immer jünger, infizieren sich oft selbst

Forscher finden auf Kontrollservern von Malware-Betreibern immer öfter Anzeichen dafür, dass diese sich unabsichtlich selbst infizieren.

In Pocket speichern vorlesen Druckansicht 293 Kommentare lesen
Malware-Verteiler werden immer jünger, infizieren sich oft selbst

Jugendliche in ehemaligen Ostblock-Staaten vertreiben sich immer öfter die Zeit mit dem Verteilen von Malware.

(Bild: Misterch0c / Twitter)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Die Zeiten, in der man als angehender Cyber-Krimineller seine Malware selber schreiben musste, sind lange vorbei. Wenn man weiß, wo man suchen muss, findet sich in einschlägigen Foren nicht nur Schadcode, sondern ganze Malware-Software-Lösungen mit Trojanern, Dropper-Code, fertigen Command-and-Control-Servern und Web-basierten Admin-Interfaces. Diese sind, genau wie das dazugehörige Hosting, zum Teil ziemlich billig zu haben und machen zum Teil auch als quelloffener Code die Runde. Dazu müssen Interessenten gar nicht ins viel beschriene "Dark Web" abtauchen, solche Foren finden sich zur Genüge ganz offen in Netz. Dementsprechend wird auch die Zielgruppe, die mit solcher Malware experimentiert, immer jünger – und oft wissen diese Neulinge nicht, was sie tun.

Sicherheitsforscher wie das MalwareHunterTeam oder Misterch0c auf Twitter berichten schon länger immer mal wieder darüber, dass sich viele Anfänger beim Verteilen von Malware selbst infizieren. Langsam wird dabei deutlich, dass sich bei diesen unbedarften Malware-Operatoren – die von Sicherheitsexperten meist verächtlich als Script Kiddies oder Skiddies bezeichnet werden – immer öfter wirklich um Kinder oder Jugendliche handelt.

Die Forscher kommen den Malware-Betreibern meist auf die Spur, weil sie einer Infektion nachgehen, meist von einem ihrer Honeypot-Systeme (also Rechner, die bewusst verwundbar im Internet hängen und Malware-Infektionen einfangen, damit Forscher diese analysieren können). Beim Analysieren der Malware machen sich die Forscher dann auf die Suche nach Command-and-Control-Servern und finden diese manchmal nur sehr ungenügend oder gar nicht abgesichert. In den dazugehörigen Twitter-Threads sieht man dann oft Screenshots der Web-Admin-Oberfläche des Trojaners, zu denen die Forscher dann Zugang haben. Und immer öfter finden sie dann auch Infektions-Berichte vom Rechner des Malware-Drahtziehers, zusammen mit Screenshots von dessen Rechner oder seines Gesichts, eingefangen von der Webcam am Rechner des Script Kids.

Die Forscher berichten außerdem, dass es oft sinnlos ist, die Malware-Kampagnen, die von diesen Möchtegern-Hackern losgetreten werden, bei den Behörden zu melden. Das gilt oft selbst dann, wenn die Skript Kiddies wirklichen Schaden anrichten und zum Beispiel Bankdaten abgreifen und Konten ausräumen. Oft reagieren lokale Polizeibehörden mit Unglauben oder zeigen kein Interesse, berichtet zum Beispiel das MalwareHunterTeam immer wieder. Und das, obwohl die Forscher mit Zugang zu einem Trojaner-Admin-Interface und den dazugehörigen Logs die Malware-Betreiber oft sehr genau identifizieren können, bis hin zu Klarnamen, Adressen und Fotos des Täters. So bleibt selbst sehr unbeholfene Cyber-Kriminalität anscheinend oft unbestraft. (fab)