Utrechter opgepakt voor maken en verspreiden malware

Het Team High Tech Crime van de Landelijke Eenheid van de politie heeft recent een 20-jarige man uit Utrecht aangehouden die ervan verdacht wordt op grote schaal foute software, zogenoemde malware, te hebben gemaakt en verkocht. Bij de jonge Utrechter kon je programma’s kopen met namen als Rubella, Cetan en Dryad waarmee onder andere in word- en excel-bestanden verborgen code of malware ingebouwd konden worden. In verband met het onderzoek kon de aanhouding niet eerder bekend gemaakt worden door politie en Landelijk Parket.

De man opereerde op hackersfora onder veel verschillende namen. Uiteindelijk bleken al die namen te leiden naar de Utrechter die werd aangehouden terwijl hij achter zijn computer zat. De politie kwam de man mede op het spoor dankzij onderzoek van twee particuliere bedrijven, waaronder het cybersecurity-bedrijf McAfee.

De verdachte ontwikkelde en leverde onder andere de macro builder Rubella, die hij voor een prijs variërend van enkele honderden tot enkele duizenden euro’s verkocht. Een macro builder is een toolkit die is ontworpen om aan gangbare Office-documenten zoals excel en word een stuk verborgen code toe te voegen. Wanneer een dergelijk geïnfecteerd document door een gebruiker werd geopend, dan werd de verborgen code uitgevoerd. Daarmee kon bijvoorbeeld (heimelijk) malware worden gedownload of lokaal een programma worden gestart. Deze documenten werden door de macro builder zo ontworpen dat deze doorgaans niet door een virusscanner werden gedetecteerd.

De verspreiding van dergelijke malware verloopt veelal via een e-mail waaraan een geïnfecteerd document als bijlage wordt toegevoegd. Met een vertrouwenwekkend bericht wordt een potentieel slachtoffer vervolgens verleid om de bijlage te openen. Feitelijk gaat het hier ook om een vorm van phishing, maar is het wel heel lastig je hiertegen te beschermen, aldus THTC en de verantwoordelijke officier van justitie van het Landelijk Parket. In ieder geval is het advies niet standaard dergelijke bestanden te openen, te bekijken of te downloaden, en alle updates van beveiligingssoftware op gegevensdragers uit te voeren.

Bij de verdachte zijn verder gegevens gevonden van tientallen credit cards en handleidingen over carding, een vorm van creditcardfraude. De jongeman had ook van duizenden sites toegangsgegevens. Wat hij daarmee van plan was, is niet bekend.

De verdachte heeft in ieder geval voor zo’n 20.000 euro aan cryptomunten als bitcoins verzameld. Die zijn in beslag genomen. Er loopt nog onderzoek of de jongeman nog meer (wederrechtelijk) verdiend heeft. Uiteindelijk zal er ook een ontnemingsvordering komen.

De officier heeft inmiddels besloten dat de verdachte zich voor de rechter moet verantwoorden. Wanneer de zaak op zitting komt is nog niet bekend.