Begin dit jaar ontmaskerde beveiligingsonderzoeker Dancho Danchev de beheerder van het beruchte Koobface-botnet, maar het meesterbrein is ondanks alle media-aandacht nog steeds actief. Koobface was malware die Facebook en Myspace onveilig maakte en werd voor het eerst in augustus 2008 gedetecteerd. Sindsdien verschenen er duizenden varianten die zich via sociale netwerksites verspreidden.

Door een fout gaf de botnetbeheerder zijn e-mailadres weg, waardoor Danchev de identiteit van de man kon achterhalen. Vervolgens verscheen er een stuk in de New York Times en ging ook Facebook tot actie over, waarop de botnetbeheerder en zijn handlangers hun handen van het Koobface-botnet terugtrokken.

Gmail-adres
Op dit moment zou KrotReal, wat het alias van de botnetbeheerder is, zich met twee projecten bezighouden, zo ontdekte Danchev. Als eerste werkt hij aan een een Black Hat (SEO) Search Engine Optimization gerelateerd product, dat internetgebruikers naar valse websites lokt. Daarnaast genereert hij verkeer voor en verricht installaties van gelokaliseerde ransomware.

"Net als de echte identiteit van KrotReal werd onthuld door een fout die hij een aantal jaren geleden maakte, namelijk het registreren van een Koobface command & control-server met zijn eigen Gmail-account, laat ik nu wederom zijn kwaadaardige en frauduleuze activiteiten zien, door twee domeinen die hij wederom met zijn eigen persoonlijke Gmail-account registreerde", merkt Danchev op.

Wet
Hij ziet in de terugkeer van KrotReal een goed voorbeeld van cybercriminelen zich nergens wat van aantrekken. "Als je niet bang bent voor juridische vervolging voor je frauduleuze activiteiten over een periode van jaren, waarmee je honderdduizenden dollars verdiende, lanceer je gewoon nieuwe projecten en blijf je doorgaan met het bestelen van besmette slachtoffers", aldus de onderzoeker.