Het aanbieden van geavanceerde malware maakt zijn intrede op publieke plaatsen. Volgens beveiligingsdeskundige Limor Kessem van RSA hebben cybercriminelen hun waar voor onbekende tijd aangeboden via sociaal netwerk Facebook. Daar verschenen zelfs met regelmaat updates en informatie over botnets, exploits en aangeboden malware.

De bewuste Facebook-pagina, genaamd ‘Casper Spy Botnet’, bood een werkende toolkit aan voor de beruchte banking trojan ZeuS, en daarnaast een heldere instructie en demonstratie hoe een botnet kan worden bestuurd.

Gebaande paden

De marketing voor malware blijft normaal gesproken ver weg van de gebaande paden op het internet. RSA signaleert wel steeds vaker het fenomeen Fraud-as-a-Service (FaaS), waarbij hackers een botnet voor een korte periode huren via een licentiemodel. Ook het versimpelen van de interface van trojans maakt het voor beginners mogelijk er mee te werken, daar waar dit eerst alleen was weggelegd voor professionele gebruikers.

Na het lekken van de broncode in mei 2011 duiken er regelmatig varianten van ZeuS op. Het opduiken van op maat gemaakte versies van de trojan is vrij normaal. Reclame maken voor een werkende ZeuS-toolkit is dat volgens Kessem bepaald niet.

Uit de lucht

De Facebook-pagina (screenshot) is inmiddels uit de lucht. Uit onderzoek van RSA blijkt dat de pagina, geschreven in het Indonesisch, een doorvoerluik was naar verdere uitleg over ZeuS en verschillende botnets. Geïnteresseerden konden uitleg krijgen over hoe een botnet werkt, en hoe het kan worden bestuurd.

Criminelen konden de malware er ook kopen. “Marketing voor cybercrime op een dergelijke open een toegankelijke plek is niet iets normaals. Cybercriminelen vrezen doorgaan voor hun vrijheid en tonen hun inspanningen niet opzichtig online vanwege undercover politieagenten en beveiligingsonderzoek”, schrijft Kessem op het RSA-blog.