De campagne was minstens een week aan de gang toen de C&C werd ontdekt, en ging uiterlijk op 13 januari 2014 van start. In die periode slaagden de cybercriminelen erin om meer dan 500.000 euro te stelen. Twee dagen nadat GReAT de C&C-server ontdekte, verwijderden de criminelen elk spoor van bewijs dat kon worden gebruikt om hen te traceren. Deskundigen vermoeden echter dat dit waarschijnlijk eerder verband hield met wijzigingen in de technische infrastructuur die in de kwaadaardige campagne werd gebruikt, dan dat het daadwerkelijk het einde betekende van de Luuuk-campagne.

"Kort nadat we deze C&C-server ontdekten, hebben we contact opgenomen met de veiligheidsdienst van de bank en de wetshandhavingsinstanties, en al ons bewijsmateriaal aan hen voorgelegd", aldus Vicente Diaz, Principal Security Researcher bij Kaspersky Lab.

Kwaadaardige instrumenten gebruikt

In het geval van Luuuk hebben de deskundigen redenen om aan te nemen dat belangrijke financiële gegevens automatisch werden onderschept en frauduleuze transacties werden uitgevoerd zodra de slachtoffers inlogden op hun online bankrekeningen. "Op de C&C-server ontdekten we geen informatie over welk specifiek malware-programma werd gebruikt tijdens deze campagne. Veel bestaande Zeus-varianten (Citadel, SpyEye, IceIX, etc.) beschikken echter over deze mogelijkheid. Wij denken dat de in deze campagne gebruikte malware een Zeus-variant kan zijn, die gebruik maakt van geavanceerde webinjecties bij de slachtoffers", voegt Vicente Diaz toe.

Financiële desinvestering-trucs

Het gestolen geld werd op een interessante en ongebruikelijke manier doorgesluisd naar de rekeningen van de criminelen. Onze deskundigen merkte een opvallende eigenaardigheid op bij de organisatie van de zogenoemde `drops` (katvangers), waarbij de deelnemers aan de zwendel een deel van het gestolen geld ontvangen via speciaal gecreëerde bankrekeningen en het geld opnemen via geldautomaten. Er waren aanwijzingen voor verschillende `drop`-groepen, die elk verschillende sommen geld kregen toegewezen. De ene groep was verantwoordelijk voor de overdracht van bedragen van 40.000-50.000 euro, een andere voor 15.000-20.000 en een derde voor maximaal 2.000 euro.

"Deze verschillen in de hoeveelheid van de aan de verschillende katvangers toevertrouwde geldbedragen kunnen wijzen op verschillende niveaus van vertrouwen voor elk `drop`-type. We weten dat deelnemers aan dergelijke zwendels hun `partners in crime` vaak bedriegen en er vandoor gaan met het geld dat ze voor de opdrachtgever hadden moeten incasseren. De bazen achter Luuuk probeerden zich mogelijk in te dekken tegen deze verliezen door gebruik te maken van verschillende groepen, met verschillende niveaus van vertrouwen: hoe meer geld een `drop` wordt gevraagd te hanteren, hoe meer hij wordt vertrouwd", aldus Vicente Diaz.

De aan Luuuk gerelateerde C&C-server werd kort nadat het onderzoek begon stilgelegd. Het complexiteitsniveau van de Man-in-the-Browser (MITB-)-operatie suggereert echter dat de aanvallers nieuwe slachtoffers zullen blijven zoeken voor deze campagne. De deskundigen van Kaspersky Lab zijn betrokken bij een lopend onderzoek naar de Luuuk-activiteiten.

Kaspersky Fraud Prevention versus Luuuk

Het door Kaspersky Labs deskundigen ontdekte bewijsmateriaal wijst erop dat de campagne zeer waarschijnlijk werd georganiseerd door professionele criminelen. De kwaadaardige tools die ze gebruikten om geld te stelen, kunnen echter effectief worden tegengegaan door middel van beveiligingstechnologieën. Kaspersky Lab heeft bijvoorbeeld Kaspersky Fraud Prevention ontwikkeld, een meerlaags platform dat financiële organisaties helpt hun klanten te beschermen tegen online financiële fraude. Het platform omvat componenten die client-apparaten waarborgen tegen vele soorten aanvallen, waaronder Man-in-the-Browser-aanvallen, evenals hulpmiddelen die bedrijven kunnen helpen frauduleuze transacties te detecteren en te blokkeren.

Lees voor meer informatie over de Luuuk-campagne onze blog op Securelist.com.