Een aan de VS uitgeleverde Est moet mogelijk 85 jaar de cel in omdat hij computers met malware infecteerde, DNS-instellingen aanpaste en muisklikken kaapte. De 27-jarige Anton Ivanov is de eerste cybercrimineel die wegens de DNS Changer-malware in de VS terechtstaat. De FBI wist vorig jaar het botnet van de cybercriminelen uit de lucht te halen. De malware wist in totaal 2,5 miljoen computers te infecteren, door zich onder andere als video codec of plug-in voor te doen.
Eenmaal actief op de computer werden de DNS-instellingen aangepast. Het Domain Name System (DNS) bepaalt via welke servers websites worden opgevraagd en bezocht. Normaal worden hiervoor de DNS-servers van de internetprovider gebruikt, maar DNS Changer veranderde dit in de DNS-servers van de criminelen achter de malware.
Vervolgens werd het internetverkeer van de slachtoffers op twee manieren omgeleid, namelijk via het kapen van muisklikken en het vervangen van advertenties. Bij de actie tegen het botnet werden de servers van de criminelen uiteindelijk vervangen door de DNS-servers van het ISC.
Clickfraude
Als een slachtoffer op een zoekresultaat van een zoekmachine klikte, werd een andere website geladen dan de gebruiker wilde. Elke klik naar zo'n website leverde de bende geld op. De gekaapte clicks werden voor zowel onbetaalde als gesponsorde zoekresultaten gebruikt, waardoor zoekmachines geld verloren. Daarnaast werden op websites getoonde advertenties vervangen door advertenties die de bende geld opleverde.
De malware zorgde er ook voor dat virusscanners en het besturingssysteem geen updates meer ontvingen, waardoor de computers ook voor andere malware kwetsbare waren. De op donderdag uitgeleverde Ivanov is aangeklaagd wegens 'wire fraud' en het binnendringen van computers. Hij kan hiervoor tot een maximale gevangenisstraf van 85 jaar cel worden veroordeeld.
Offline
Onlangs werd bekend dat nog zo'n 400.000 computers met de malware besmet zijn. Die computers kunnen tot 9 juli de DNS-servers van het ISC gebruiken, daarna gaan die offline, wat ook betekent dat de besmette computers niet meer online kunnen, tenzij ze de DNS-instellingen aanpassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.