Drie Roemeense mannen die verdacht worden van het infecteren van tienduizenden computers en het stelen van miljoenen dollars zijn door Roemenië aan de Verenigde Staten uitgeleverd en daar aangeklaagd. De drie mannen konden na 8 jaar onderzoek worden geïdentificeerd en aangehouden.

Volgens de aanklacht heeft het drietal de afgelopen jaren tussen de 60.000 en 160.000 computers met malware geïnfecteerd, 11 miljoen kwaadaardige e-mails verstuurd en tenminste 4 miljoen dollar gestolen, hoewel de werkelijke schade volgens beveiligingsbedrijf Symantec mogelijk 35 miljoen dollar bedraagt. De bende was in eerste instantie actief op eBay. Via de populaire veilingsite werden allerlei auto's aangeboden. Zodra er personen reageerden, een bod deden of interesse toonden, stelden de criminelen dat het voertuig al was verkocht. Later mailden ze slachtoffers dat de verkoop niet was doorgegaan en of er nog steeds interesse was. Deze e-mails waren voorzien van een kwaadaardige bijlage die zogenaamd foto's van de auto zou bevatten. In werkelijkheid was het de Bayrob Trojan.

Zodra de malware op de computer actief was stuurden de aanvallers een e-mail met een nieuwe link naar de veiling van de auto. Als het slachtoffer de link opende werd hij of zij doorgestuurd naar een nepversie van eBay. Vervolgens werd gevraagd om via overschrijving te betalen. Dit geld werd naar de rekening van een katvanger overgemaakt, die het geld weer naar de criminelen doorstuurde. Voor slachtoffers leek het om een echte eBay-veiling te gaan. De link werkte echter alleen vanaf een besmette computer. Om de scam realistisch te maken waren de e-mails in foutloos Engels opgesteld. Ook was elke versie van de malware voor het beoogde slachtoffer aangepast. De nepversie van eBay bevatte zelfs verzonnen feedback over de verkoper. De malware kon ook neppagina's met het verleden van de auto genereren, alsmede nagemaakte pagina's van escrow- en bezorgdiensten tonen.

In 2007 kwam de fraude al aan het licht, alleen ging de oplichters ongestoord verder. Ze besloten zelfs een fictief transportbedrijf op te richten, inclusief telefoonlijn en nep-voicemail. Dit "bedrijf" informeerde slachtoffers dat hun auto was verzonden. Slachtoffers ontvingen later een e-mail dat er vertraging was opgelopen. Op deze manier werd geprobeerd om slachtoffers zolang als mogelijk aan het lijntje te houden, zodat de criminelen het geld konden ontvangen. Verder bleek de bende ook de katvangers die het gebruikte op te lichten. Katvangers konden ervoor kiezen om 6 procent van het bedrag als betaling te houden, of het gehele bedrag over te maken waarna ze 10 procent zouden krijgen. Deze laatste optie was een scam en katvangers kregen in dit geval niet betaald. Later besloten de aanvallers ook creditcardgegevens van besmette computers te stelen en de machines in te zetten voor het minen naar digitale valuta.

De bende bleek via versleutelde e-mail en chatdiensten met elkaar te communiceren. Om geen sporen achter te laten werden verschillende proxies in Roemenië en in de Verenigde Staten gebruikt. Onderzoekers van Symantec kregen de bende uiteindelijk in het vizier wegens een zwakke plek in deze proxies. Verdere details wil het beveiligingsbedrijf echter niet prijsgeven. Vervolgens besloot Symantec de bende een jaar lang te observeren, zodat de infrastructuur in kaart kon worden gebracht. Uiteindelijk werd de informatie met de autoriteiten gedeeld. De verdachten werden eerder dit jaar in Roemenië aangehouden. Deze week volgde uitzetting naar de Verenigde Staten waar de drie meteen werden aangeklaagd.