Forscher legen Analyse von Botnetz Pobelka vor

Sicherheitsforscher der niederländischen Firma Fox-IT haben einen detaillierten Bericht (PDF) zum Botnetz Pobleka vorgelegt. Als Autor wird Analyst Michael Sandee genannt. Das Botnetz zielt vor allem auf deutsche und holländische User ab, deren Adresse der Betreiber aus einem Traffictausch-Netz bezogen hatte.

Der Angreifer, der im Netz den Namen „Finist“ nutzt, setzte zunächst serverbasierte Angriffswerkzeuge ein, die Fox-IT nach dem Verzeichnisnamen als „Bentpanel“ bezeichnet. Um Benachrichtigungen zu gestohlenen Kontoverbindungen zu erhalten, hinterließ er dort sogar eine Mailadresse, wie Fox-IT herausfand. Mit dem Black Hole Exploit Kit versuchte er außerdem, seine Adressen in Bots zu konvertieren, indem er sie mit Varianten von SpyEye und Citadel infizierte.

Bentpanel – mit von „Finist“ hinterlassener Mailadresse (Screenshot: Fox-IT)

Die Sicherheitsforscher konnten Pobelka ebenfalls mit einigen trafficstarken Websites in den Niederlanden in Verbindung bringen. Sie weisen zudem nach, dass „Finist“ im Internet nach Money Mules suchte, um die Überweisungswege zu verschleiern, wenn er Beträge von Konten deutscher und niederländischer Anwender abhob.

Als Besonderheit von Pobelka galt bislang, dass es ihm gelungen war, sich von Schlagzeilen fernzuhalten und seine Existenz im Dunkeln zu belassen. Außerdem illustriert der Fall, wie leicht und gefahrlos sich mit Online-Betrug Geld verdienen lässt.

Erste Hinweise auf Pobelka hatten im Dezember 2012 Surfright und Digital Investigation vorgelegt. Der wesentlich detailliertere Bericht von Fox-IT baut auf ihren Ergebnissen auf.

[mit Material von Dancho Danchev, ZDNet.com]