Pinaghiwa-hiwalay ng Facebook ang Cryptocurrency Mining Botnet 'Lecpetex'

Matagumpay na na-dismantle ng Facebook ang isang pangunahing Bitcoin botnet na pinamamahalaan ng isang maliit na pangkat ng mga cyber criminal na nakabase sa Greece.

Nagawa ng Lecpetex botnet na makahawa sa 250,000 computer. Sa kasagsagan nito, nakompromiso nito ang hanggang 50,000 Facebook account.

Ang Lecpetex ay ipinalaganap sa pamamagitan ng social media platform gamit ang mga mensaheng spam na may malisyosong code na ipinasok sa mga naka-zip na attachment.

Ang bawat zip archive ay naglalaman ng naka-embed na Java file na magda-download at mag-i-install ng Litecoin miner. Magnanakaw din ito ng cookies at magkakaroon ng access sa listahan ng kaibigan ng biktima, gamit ito upang magpadala ng higit pang spam.

Gayunpaman, ang pagmimina ay hindi lamang ang gawain nito. Ginamit din ang botnet upang ipamahagi ang mas mapanganib na malware na idinisenyo upang magnakaw ng mga detalye ng pagbabangko, mga password at bitcoin.

Ang aking malaking matabang Greek botnet

Na-detect ng Facebook ang Lecpetex botnet ilang buwan na ang nakakaraan at pinaniniwalaan na unang nagsimula itong kumalat noong Disyembre.

Sinabi ng higanteng social media na nasubaybayan nito ang higit sa 20 natatanging mga WAVES ng spam na ipinadala ng botnet sa pagitan ng Disyembre 2013 at Hunyo 2014.

Noong ika-30 ng Abril, humingi ng tulong ang Facebook sa Cybercrime Subdivision ng Greek Police. Nakuha ng mga imbestigador ng Greek ang mga may-akda ng botnet noong ika-3 ng Hulyo at sila ay pinigil sa parehong araw.

Sinabi ng pulisya ng Greece sa Facebook na ang mga salarin ay nasa proseso ng pagtatatag ng isang 'paghahalo ng Bitcoin’ serbisyo na magbibigay-daan sa kanila na maglaba ng mga ninakaw na bitcoin.

Nang magsimulang magsara ang mga pulis ng Greece sa mga operator, nag-iwan sila ng mga tala para mahanap nila sa mga nakompromisong command at control server.

ONE ganoong mensahe ang nabasa:

“Hello people.. :) <!-- Designed by the SkyNet Team --> but am not the f***ing zeus bot/skynet bot or whatever piece of sh* T.. no fraud here.. only a BIT of mining. Stop breaking my ballz [sic].”

Inilathala ng Facebook ang mga natuklasan nito sa botnet sa isang malawak na post sa blog.

Walang salita sa pinsalang naidulot

Bagama't sinabi ng Facebook na natuto ito ng ilang aral habang binuwag nito ang botnet, wala pa ring opisyal na impormasyon sa pinsalang dulot ng Lecpetex .

"Ang aming pagsusuri ay nagsiwalat ng dalawang natatanging malware payload na inihatid sa mga infected na makina: ang DarkComet RAT, at ilang variation ng Litecoin mining software. Sa huli ang mga botnet operator ay nakatuon sa Litecoin mining upang pagkakitaan ang kanilang pool ng mga infected system," sabi ng kumpanya.

Bagama't medyo mababa ang bilang ng mga apektadong PC kumpara sa marami iba pang mga botnet, malamang na nakabuo ng ilang litecoin ang Lecpetex, kahit na hindi alam ang bilang. Ang pagsisikap na 'paghahalo ng Bitcoin ' na binanggit ng Facebook ay nagpapahiwatig din na ang mga bitcoin ay malamang na ninakaw ng botnet.

Ayon sa mga ulat ng Greek media, sinabi ng mga operator ng botnet na ginagamit nila ang data para sa "mga layunin ng pananaliksik," hindi pakinabang sa pera. Ang pares ay pinalaya sa kustodiya mas maaga nitong linggo.