Государственная прокуратура Нидерландов сообщила о задержании предполагаемого разработчика программ-компоновщиков вредоносных документов. Согласно заявлению, 20-летний житель Утрехта распространял билдеры Rubella, Cetan и Dryad на теневых форумах. Полиция изъяла у него криптовалюту, предположительно полученную от продажи ПО, в сумме эквивалентную 20 тыс. евро.
Названные инструменты позволяют добавлять в документы Word и Excel загрузчик в виде макрокода. Подобные файлы-приманки злоумышленники используют для распространения вредоносных программ с помощью спам-рассылок — после открытия они загружают и запускают вредоносное ПО на компьютере жертвы.
«Набор инструментов продавался с красочными баннерами на разных теневых форумах, — цитирует The Register блог-запись экспертов Джона Фоккера (John Fokker) и Томаса Роччи (Thomas Roccia), помогавших голландской полиции. — За $500 в месяц его можно использовать для превращения документов Office в оружие, которое обойдет защитные решения и доставит вредоносную нагрузку или запустит требуемый PowerShell-код».
Обнаружить местоположение вирусописателя экспертам помог размещенный им на одном из форумов скриншот билдера, запущенного в локализованной версии Windows. «Будучи голландским исследователем, я сразу обратил внимание на этот снимок экрана из-за используемой на нем версии Microsoft Word, — пояснил один из специалистов. — Голландский — очень редкий язык, на нем говорит лишь небольшой процент населения мира и еще меньшее количество киберпреступников».
Эта ошибка теневого бизнесмена навела исследователей на мысль поискать подсказки в метаданных вредоносных файлов. Обнаруженные в них улики вывели их на 20-летнего подозреваемого, живущего в Утрехте. После ареста у него конфисковали криптовалюту — около 20 тыс. в евро-эквиваленте. Помимо этого полицейские при обыске нашли данные десятков кредитных карт, руководства по скиммингу и информацию для доступа к тысячам сайтов. Молодой человек предстанет перед судом, дата заседания еще не назначена.
По мнению экспертов, билдер Rubella мог получить широкое распространение среди киберпреступников. Он обладал привлекательной ценой, был прост в использовании и предоставлял средства обхода статических анализаторов. Его применяли для распространения банковских троянов ZeuS Panda и Gootkit.