'Gebruik betaalde software in malware leidde tot arrestatie maker'

Beveiligingsbedrijf Trend Micro heeft een analyse gemaakt van de EyePyramid-malware, die waarschijnlijk gebruikt is om data van bijvoorbeeld de voorzitter van de ECB te stelen. De persoon achter de malware zou zijn opgespoord doordat hij betaalde software gebruikte.

In zijn analyse meldt Trend Micro dat de malware werd gebruikt om 87GB aan gegevens als wachtwoorden, gebruikersnamen, internetgeschiedenis en inhoud van harde schijven te stelen van belangrijke Italiaanse doelwitten. De malware werd verspreid door middel van een gerichte phishingcampagne. Onder de doelwitten waren onder andere ECB-president Mario Draghi en de Italiaanse ex-premier Matteo Renzi, aldus Reuters. De aankoop van MailBee.net.dll's heeft onder andere de FBI en de Italiaanse autoriteiten naar de identiteit van de verdachte geleid, schrijft Trend Micro.

De MailBee.net.dll's waren gebruikt om e-mailsoftware te schrijven waarmee bestanden van geïnfecteerde systemen naar verschillende e-mailadressen van de aanvaller worden gestuurd. De licentiecode zou verborgen zijn in de broncode van de malware. De aanvaller richtte zich met de verspreiding van de malware voornamelijk op advocaten van verschillende kantoren.

De hackers zijn volgens Reuters een man en zijn zus, die dinsdag zijn gearresteerd. Zij worden ervan verdacht naast accounts van Draghi en Renzi in totaal 18.000 accounts te hebben gehackt. De mannelijke verdachte zou de gestolen informatie hebben gebruikt om investeringen te doen via zijn eigen bedrijf Westland Securities. De gestolen gegevens werden opgeslagen op servers in de Amerikaanse staten Minnesota en Utah. De servers zijn in beslag genomen.

Uit bewijs zou blijken dat de hackers naast het stelen van gegevens in staat waren om keyloggers op verschillende systemen te installeren. Opsporingsdiensten kwamen de twee verdachten op het spoor naar aanleiding van de ontdekking van een geïnfecteerde e-mail in april 2016. De twee zouden al sinds 2010 gebruikmaken van de malware.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 12-01-2017 10:58 45

12-01-2017 • 10:58

45

Lees meer

HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update
HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update Nieuws van 12 mei 2017
'1,1 miljoen gebruikersaccounts forum Clash of Clans-ontwikkelaar gestolen'
'1,1 miljoen gebruikersaccounts forum Clash of Clans-ontwikkelaar gestolen' Nieuws van 17 januari 2017
Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline
Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline Nieuws van 11 januari 2017
'Malware op laptop energiebedrijf VS niet afkomstig van Russische staatshackers'
'Malware op laptop energiebedrijf VS niet afkomstig van Russische staatshackers' Nieuws van 3 januari 2017
'Russische malware aangetroffen op laptop van energienetwerkbeheerder in VS'
'Russische malware aangetroffen op laptop van energienetwerkbeheerder in VS' Nieuws van 31 december 2016
Meegeleverde downloaders op goedkope Android-telefoons halen malware binnen
Meegeleverde downloaders op goedkope Android-telefoons halen malware binnen Nieuws van 14 december 2016
Onderzoekers vinden exploitkit die malware verspreidt via pixels in banners
Onderzoekers vinden exploitkit die malware verspreidt via pixels in banners Nieuws van 7 december 2016
Europol-actie tegen Avalanche-malwarenetwerk leidt tot arrestaties
Europol-actie tegen Avalanche-malwarenetwerk leidt tot arrestaties Nieuws van 1 december 2016
Meer producten en artikelen
Netwerk en systeembeheer Malware Security

Reacties (45)

-Moderatie-faq
45
43
42
4
0
1
Wijzig sortering
BasNation 12 januari 2017 11:04
De licentiecode zou verborgen zijn in de broncode van de malware
Dus de DLL's worden gecompiled voor iedere individuele gebruiker voordat ze te downloaden zijn?

Is dit gebruikelijk? Lijkt me een niet-triviale stap in je distributie proces.
Loather @BasNation12 januari 2017 11:14
Ja, dat is gebruikelijk, maar er wordt de broncode van de malware bedoeld, niet de broncode van de MailBee DLL.
Deze DLL's bevatten APIs die je kan gebruiken in je eigen code. Voordat je die API kan aanroepen moet je echter een sleutel zetten, omdat anders iedereen gebruik kan maken van die DLL en dat is nou juist het verdienmodel van die componentbouwers.
Deze licentie is vaak een bestandje dat je in je DLL include, in je eigen code uitleest en aanbied aan de API van het component voordat je de rest van de API kan gebruiken.
dwarfangel @Loather12 januari 2017 12:32
Hadden ze niet heel makkelijk valse gegevens kunnen gebruiken? of zou dit een klassiek geval zijn van mensen die stiekem graag gepakt (of gevonden) willen kunnen worden voor de erkenning van hun talent?
Verwijderd @dwarfangel12 januari 2017 13:33
Ik begrijp wederom niet waarom deze reactie negatief gemod wordt. Het is perfect mogelijk om een aankoop te doen met iemand anders zijn PayPal account via zijn/haar internetverbinding.
dwarfangel @Verwijderd12 januari 2017 13:41
Ik begrijp het soms ook niet, ik denk een combinatie van te snel lezen en niet begrijpen.. Maar thanks voor je antwoord.

Het verbaast mij in ieder geval behoorlijk, dat 2 talenten zoals dit, een dermate 'domme' fout maken (aangenomen dat de hele berichtgeving 100% waar is). En ik ben alles behalve 1337, eerder n003 :)

[Reactie gewijzigd door dwarfangel op 24 juli 2024 22:01]

junkserver @BasNation12 januari 2017 11:13
Ik denk eerder dat er een key is gebruikt die de eindgebruiker in staat stelt de DLL te gebruiken. Aan deze key zijn waarschijnlijk de persoonsgegevens van de afnemer gekoppeld.

Edit: Jup, license key in de source, maar wel zwaar obfuscated.

For instance, information about the command & control server’s URL and the MailBee’s license key (allegedly purchased under the attacker’s name), were heavily obfuscated

[Reactie gewijzigd door junkserver op 24 juli 2024 22:01]

biglia @BasNation12 januari 2017 11:45
Nee, je krijgt als programmeur gewoon een licentiecode. Dat is gewoon een regeltje tekst. Dat moet je vervolgens in je code plakken en vervolgens moet je de code van je programma compileren.

http://www.afterlogic.com/mailbee-net/docs/keys.html
lololig @BasNation12 januari 2017 11:09
Lijkt me wel een slimme zet voor een bedrijf dat DLLs verkoopt. Het is gewoon een methode om Piracy tegen te gaan. Als iemand een DLL koopt bij jou en vervolgens massaal gaat verspreiden weet je tenminste bij wie je moet wezen.
BasNation @lololig12 januari 2017 11:13
Maar als je dan de licentie code in een DLL aantreft die gebruikt is in een aanval weet je eigenlijk niet zeker of je met de daadwerkelijke aanvaller te maken hebt, of met de originele piraat die de DLL op internet gedumpt heeft (en daarna door anderen wordt gebruikt).

In dat geval kan je hoogstens de originele piraat pakken.

In dit specifieke geval lijkt dat onwaarschijnlijk, aangezien ze er kennelijk al sinds 2010 gebruik van maken.

[Reactie gewijzigd door BasNation op 24 juli 2024 22:01]

biglia @BasNation12 januari 2017 11:32
Maar als je dan de licentie code in een DLL aantreft die gebruikt is in een aanval weet je eigenlijk niet zeker of je met de daadwerkelijke aanvaller te maken hebt, of met de originele piraat die de DLL op internet gedumpt heeft (en daarna door anderen wordt gebruikt).
Of aangekocht met gestolen Credit Cards en op iemand anders zijn naam. Die verdachten hebben echt niet het profiel die je in deze zaak verwacht. Die vrouw is 49 jaar en die man, een nuclear engineer, is 46 jaar. Bovendien waren ze goed gekend in het Londense financieel wereldje. Een licentie kopen in eigen naam en deze gebruiken voor malware is sowieso te dom om waar te zijn.
Eskimo0O0o @biglia12 januari 2017 12:41
Uit de laatste alinea van het artikel kan worden opgemaakt dat de licentiecode niet het bewijs is waarmee ze worden aangeklaagd.

Het is alleen het spoortje waardoor zij in beeld kwamen van de onderzoekers. Als je eenmaal in beeld bent en dan vervolgens een tijdje in de gaten gehouden wordt (en dan bijvoorbeeld een serie aan verdachte transacties op de financiele markten doet omdat je voorkennis hebt, en er een relatie gelegd kan worden tussen jou en de servers waar de gestolen informatie heen wordt gesluist) dan stapelt het échte bewijs zich al snel op.

Dat ze niet in jouw plaatje passen van internetcriminelen en omdat dit stukje "bewijs" inderdaad geen waterdicht bewijs is dat deze twee verdachten de malware geschreven hebben wil nog niet zeggen dat ze onschuldige bystanders zijn.

Uiteindelijk zal er natuurlijk ook rechtspraak plaats moeten vinden, vooralsnog zijn ze onschuldig tot het tegendeel is bewezen ;)

[Reactie gewijzigd door Eskimo0O0o op 24 juli 2024 22:01]

Michaelr1 @biglia12 januari 2017 11:43
Veel mensen zijn zo overtuigd van hun kunnen dat ze slordig zijn met details, omdat ze overtuigd zijn dat de pakkans nihil is.

Daarnaast zijn ook veel inteligente mensen op praktisch niveau gewoon hartstikke dom.
lololig @BasNation12 januari 2017 11:14
Dan kun je dus bij die originele piraat claimen dat hij/zij een aanval gefaciliteerd heeft.
Geim @lololig12 januari 2017 11:27
Zo doorredenerend, is de maker van de DLL dus ook medeverantwoordelijk...
lololig @Geim12 januari 2017 11:32
Die zal zich netjes hebben ingedekt met gebruiksvoorwaarden waarin iets staat dat degene die de files download en gebruikt, die niet voor bepaalde (onwettige) doeleinden mag gebruiken. Anders zou een autofabrikant ook verantwoordelijk gehouden kunnen worden bij een ramkraak of straatrace.
jaxxil @lololig12 januari 2017 11:53
Daar hoef je je echt niet voor in te dekken, hoor. Als ik jou een hamer verkoop, hoef ik jou toch ook niet een blaadje te laten ondertekenen waar in staat dat je de hamer niet als moordwapen mag gebruiken? Of andersom, alsof we overeen zouden kunnen komen dat de hamer wel voor onwettige doeleinden mag worden gebruikt.

Onwettige doeleinden mogen sowieso niet, onafhankelijk van wat er wel of niet in gebruikersvoorwaarden staat.
lololig @jaxxil12 januari 2017 12:01
Maar je kunt als bedrijf natuurlijk wel dat blaadje erbij doen om extra aan te geven dat je er niets mee te maken wilt hebben. Verder heb je natuurlijk te maken met het geval dat de wetgeving internationaal niet hetzelfde is. Bepaalde dingen mogen gewoon nergens, andere dingen zijn in sommige landen niet duidelijk. Dus als bedrijf is het misschien wel een goed idee om dat alsnog in gebruiksvoorwaarden te zetten.
i-chat @jaxxil12 januari 2017 12:05
niet helemaal want als ik bij jou (de gamma) aanklop en vraag naar een voldoende grote hamer om iemand de kop in te kunnen slaan dan is het je plicht om mij geen hamer te verkopen. al heb ik even geen zin om passende jurispredentie te zoeken.
lepel @Geim12 januari 2017 11:57
Waar lololig waarschijnlijk op doelt is dat de originele piraat deze aanval een soort van heeft gefaciliteerd door de dll online te zetten. Beetje kort door de bocht natuurlijk, maar kan wel even de gevolgen van internet laten zien.

Stel dat jij een stuk zeer gevaarlijke informatie op internet plaatst, bijv. hoe je een bom maakt, en iemand gebruikt die informatie om strafbare feiten te plegen. Ben jij dan mede verantwoordelijk?

Lijkt mij niet natuurlijk, tenzij je er bij zet "gebruik dit om mensen pijn te doen". Je bent dan niet verantwoordelijk voor de geestesziekte van iemand anders. Een normaal mens weet dat je geen bom moet maken, en iemand die dat dus wel doet had ook zonder jouw informatie schade kunnen aanrichten, alhoewel misschien minder.

"Zulke informatie hoort niet op het internet." Daar ben ik het niet mee eens, er is geen dier nieuwsgieriger dan de mens. Iedereen heeft een andere hobby, en dat maakt ons zo geweldig. Er is altijd wel iemand die een interesse heeft voor elk willekeurig ding. Soms zijn dat lugubere of kwaadaardige dingen, maar er zijn altijd rotte appels.

En wie bepaald wat de grens is van gevaarlijke informatie. Als ik een artikel online zet over het zelf snijden van een houten lepel, en iemand gebruikt mijn artikel om een lepel te maken en iemand zijn ogen er uit te lepelen ben ik ook niet schuld neem ik aan.

[Reactie gewijzigd door lepel op 24 juli 2024 22:01]

The Reeferman @lololig12 januari 2017 11:19
Of zn dll's heeft laten stelen.
lololig @The Reeferman12 januari 2017 11:24
Dan is die dus geen piraat
biglia @BasNation12 januari 2017 11:56
In dit specifieke geval lijkt dat onwaarschijnlijk, aangezien ze er kennelijk al sinds 2010 gebruik van maken.
Volgens Trend Micro was de malware compileerd onder .NET Framework >= 4.5.x. De eerste versie, bijvoorbeeld 4.5 is uitgebracht op 2012-08-15. De 4.5.1 versie zelfs pas op 2013-10-17.
RoestVrijStaal @lololig12 januari 2017 13:04
Lijkt me wel een slimme zet voor een bedrijf dat DLLs verkoopt. Het is gewoon een methode om Piracy tegen te gaan. Als iemand een DLL koopt bij jou en vervolgens massaal gaat verspreiden weet je tenminste bij wie je moet wezen.
Een slecht idee.

Wat als iemand in je PC inbreekt en even al jouw licentie-DLL's op het internet gooit? Het bewijzen dat jij dat niet hebt gedaan is moeilijk hard te maken.
DeerDitch @lololig13 januari 2017 08:15
Dat hangt natuurlijk af van de Terms & Agreement die je aanvaard.
Als de licentie voor zo'n DLL op basis van persoonlijk gebruik is, wat let je dan om die DLL met je "vrienden" te delen in de software die zij maken?
Als de licentie voor éénmalig gebruik is, mag je het alleen éénmalig in je eigen software gebruiken. Kan me niet voorstellen dat het anders werkt...
Legosteen11 @BasNation12 januari 2017 11:12
Lijkt mij ook niet gebruikelijk, maar wel een heel slimme methode om dit soort gebruik af te weren en om te zorgen dat als je applicatie gecrackt wordt dat je er dan achter komt wie het heeft verspreid.
mjl @BasNation12 januari 2017 11:12
In de broncode van de malware: dus niet noodzakelijkerwijs in de DLL's maar om de DLL's te kunnen gebruiken zal de key nodig zijn geweest en dus in de code van de malware verwerkt zijn.

Beetje domme hacker dit... of de keys zijn ook gestolen en gaan de verdachten vrijuit ... als je dan toch illegaal bezig bent hack dan ook de software die je misbruikt!
SpiceWorm @BasNation12 januari 2017 11:17
Nee, je moet je gewoon met die key identificeren bij de dll. De dll test vervolgens (met vermoedelijk asymmetrische encryptie) of de key geldig is. Zo ja worden de functies van de dll beshikbaar.

Bijzonder dat een programmeur die dit soort software schrijft niet weet dat zo'n key naar hem te herleiden is.
ultimate-tester @BasNation12 januari 2017 11:28
Het is niet nodig om deze opnieuw te compileren. Je kunt zonder compileren resources van een executable of DLL aanpassen. Dit is hier ook gedaan, de licentie is als resource toegevoegd. Dit zou dan geautomatiseerd kunnen gebeuren waardoor je binnen 2 minuten je "custom" DLL in je mailbox hebt staan als klant.
Verwijderd @BasNation12 januari 2017 17:53
Dus de DLL's worden gecompiled voor iedere individuele gebruiker voordat ze te downloaden zijn?
Kan maar hoeft niet. Je kunt een dummy key opnemen in de code, en daarmee compileren. Vervolgens zoek je in de DLL de dummy string op, en noteert dat die op bijvoorbeeld een offset van 3785 bytes van het begin van het bestand zit.
Vervolgens kun je bij elke verkoop eenvoudig een nieuwe key in het bestand schrijven, door vanaf byte 3785 te schrijven.
Het gaat fout als de DLL ook een checksum bevat ter controle, maar ook die kun je opnieuw berekenen. Allemaal zonder opnieuw te compileren. Je moet wel optimalisatie en versleuteling uit hebben staan.
Als virussen het kunnen, kan een legale verkoper het ook met een tooltje.
biglia 12 januari 2017 11:17
Het is een beetje raar om 299$ voor een licentie van een third party .NET component te betalen, als je weet dat al die functionaliteit gewoon in het .NET Framework aanwezig is. http://www.afterlogic.com/purchase/net-email-components


Zijn ze wel zeker dat ze de juiste personen hebben? Ik hoop dan dat ze nog andere bewijzen hebben.
ultimate-tester @biglia12 januari 2017 11:31
Meer bewijs is niet per se nodig om iemand te veroordelen hierop. Vergelijk het met: ik als rechercheur heb een wapen gevonden met een serienummer. Dit serienummer verwijst naar een bepaald persoon. Deze persoon wordt vanaf nu verdacht van de moord die ermee gepleegd is.

Uiteraard kan het zijn dat het wapen gestolen is, maar dan moet je het wapen als gestolen hebben opgegeven van te voren. De DLL in deze situatie kan ook gestolen zijn, maar dan zouden ze hier ook aangifte van hebben moeten doen of er moeten duidelijke sporen zijn dat de DLL op een of andere manier is gedeeld met derden. Als ik me niet vergis is het aan de beschuldigde partij om dit te bewijzen en niet aan de autoriteiten.
biglia @ultimate-tester12 januari 2017 11:38
Meer bewijs is niet per se nodig om iemand te veroordelen hierop. Vergelijk het met: ik als rechercheur heb een wapen gevonden met een serienummer. Dit serienummer verwijst naar een bepaald persoon. Deze persoon wordt vanaf nu verdacht van de moord die ermee gepleegd is.
Ok, je bent dan verdacht, maar even goed koop ik een wapen in jouw naam. Dat is bij wapens misschien moeilijker, maar we spreken hier over lullige .NET dll's.
De DLL in deze situatie kan ook gestolen zijn, maar dan zouden ze hier ook aangifte van hebben moeten doen of er moeten duidelijke sporen zijn dat de DLL op een of andere manier is gedeeld met derden.
De DLL's kunnen inderdaad ook gestolen zijn. In de handleiding staat:

Setting the license key in the config file is the preferred method (unless you need to redistribute the application and thus hide the license key from the end user).
- http://www.afterlogic.com/mailbee-net/docs/keys.html

Als een programmeur dit per vergissing wel heeft gedaan, dan liggen uw licentiecodes dus al op straat. Een gekraakt versie van die software (vaak met gestolen licentiecodes) zijn ook eenvoudig te downloaden. Dat is toch allemaal veel eenvoudiger dan een licentiecode te gaan kopen.

[Reactie gewijzigd door biglia op 24 juli 2024 22:01]

dog4life @ultimate-tester12 januari 2017 11:42
Als een dll wordt gestolen zou dat op dezelfde manier gaan als iedere andere hack: het origineel staat er nog gewoon (in tegenstelling tot je pistoolvoorbeeld), wellicht heeft deze man nooit beseft dat hij was beroofd en heeft derhalve nooit aangifte gedaan?
ik lees ook niet dagelijks de log's van mijn firewall uit..
scsirob @biglia12 januari 2017 11:27
Make-or-buy.. $299 voor een drop-in functie is goedkoper dan 2 dagen loonkosten om alles lekker werkend en grootschalig getest te krijgen.
Stoney3K @scsirob12 januari 2017 11:43
Make-or-buy.. $299 voor een drop-in functie is goedkoper dan 2 dagen loonkosten om alles lekker werkend en grootschalig getest te krijgen.
Want een maker van malware betaalt zichzelf een salaris uit?
scsirob @Stoney3K12 januari 2017 11:46
Ten eerste kan het zijn dat de malware maker helemaal niet zo handig is met software, en alleen wat libraries aan elkaar gekleefd heeft (niet ongebruikelijk bij 'ontwikkelaars'). Ten tweede betekent twee dagen eerder kunne starten ook twee dagen eerder geld.
ikt @biglia12 januari 2017 11:31
Zijn ze wel zeker dat ze de juiste personen hebben? Ik hoop dan dat ze nog andere bewijzen hebben.
De apparaten van de opgepakte mensen bevatten de data die is buitgemaakt. Dat lijkt me prima bevestiging van het vermoeden :)
Nafets @biglia12 januari 2017 11:32
Het maakt sommige dingen makkelijker om te doen, dat wat standaard .net kan (minder boilerplate code schrijven). 300$ = 3 uur werk. kan me voorstellen dat afhankelijk van wat je wil dit al snel meer dan 3 uur scheelt.

In dit geval is het een dure shortcut gebleken :)

[Reactie gewijzigd door Nafets op 24 juli 2024 22:01]

NIK0 12 januari 2017 12:24
Based on the available information and our initial analysis from the samples, it appears that the attacker behind the spear-phishing campaign managed to compromise email accounts, particularly those belonging to attorneys and associates in several law firms. We see this as a lure used by the hacker to bait a target into opening a malicious email attachment.

Knap stukje spear-phising en dat je zoveel mensen zo gek hebt gekregen om die email attachment te openen..ben toch wel benieuwd hoe zo'n mail eruit gezien heeft en in welke formaat dat attachment naar binnen is gekomen.

[Reactie gewijzigd door NIK0 op 24 juli 2024 22:01]

biglia @NIK012 januari 2017 12:35
Met die doelgerichte aanvallen zoeken ze de organigram van je bedrijf op. Dat is niet zo moeilijk te achterhalen. Vaak staan ze al op de officiële websites of via linkedin kom je ook al heel wat te weten. Als je een directeur van een bedrijf het slachtoffer moet worden, dan sturen ze die e-mail uit naam van een directe medewerker ofzo. Zo hebben we hier onlangs ook een phising aanval gezien.
Mel33 12 januari 2017 11:12
Ja je koopt een exploit op het dark-web en je gaat wat met dat ding prutsen, Dit is wel zo'n voorbeeld.
This ook best heel makkelijk en niet erg duidelijk dat ze een misdaad begaan (of eigenlijk meer lekker gezellig met z'n 2 wat op afstand geld jatten, ) met deze vorm van criminaliteit, ik denk niet eens dat er veel maffia of hele groeperingen dit doen. (met de kans dat ze ontdekt worden)
Hier een broer en zus met een script-awayy... mentaliteit

Is het nou zo moeilijk om als software maker dan zoiets te kopen/bemachtigen op het dark web

[Reactie gewijzigd door Mel33 op 24 juli 2024 22:01]

Qwerty-273 12 januari 2017 11:58
Onder de doelwitten waren onder andere ECB-president Mario Draghi en de Italiaanse ex-premier Matteo Renzi, aldus Reuters.
Met wel een kanttekening dat het voor Mario Draghi ging om zijn mailbox bij Banca d'Italia (zijn vorige werkgever) en niet om zijn mailbox bij de ECB.
MeMoRy 12 januari 2017 13:36
...een man en zijn zus
Heten ze 'toevallig' Elliot en Darlene?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq