Facebook interrompe la botnet per il mining Criptovaluta "Lecpetex"

Facebook è riuscito a smantellare un'importante botnet Bitcoin gestita da un piccolo team di criminali informatici con sede in Grecia.

La botnet Lecpetex è riuscita a infettare 250.000 computer. Al suo apice ha compromesso fino a 50.000 account Facebook.

Lecpetex si è diffuso attraverso la piattaforma dei social media tramite messaggi spam con codice dannoso inserito in allegati compressi.

Ogni archivio zip conteneva un file Java incorporato che scaricava e installava un miner Litecoin . Inoltre, rubava i cookie e otteneva l'accesso alla lista degli amici della vittima, usandola per inviare ancora più spam.

Tuttavia, il mining non era la sua unica funzione. La botnet veniva utilizzata anche per distribuire malware più pericolosi, progettati per rubare dati bancari, password e bitcoin.

La mia grande e grassa botnet greca

Facebook ha rilevato la botnet Lecpetex mesi fa e si ritiene che abbia iniziato a diffondersi a dicembre.

Il colosso dei social media afferma di aver monitorato più di 20 distinte WAVES di spam inviate dalla botnet tra dicembre 2013 e giugno 2014.

Il 30 aprile, Facebook ha chiesto assistenza alla Cybercrime Subdivision della polizia greca. Gli investigatori greci sono riusciti a catturare gli autori della botnet il 3 luglio e sono stati arrestati lo stesso giorno.

La polizia greca ha detto a Facebook che gli autori stavano per stabilire un "miscelazione Bitcoin' servizio che consentirebbe loro di riciclare i bitcoin rubati.

Quando la polizia greca ha iniziato ad avvicinarsi agli operatori, questi hanno lasciato loro delle note da reperire sui server di comando e controllo compromessi.

ONE di questi messaggi recitava:

"Ciao a tutti.. :) <!-- Progettato dal Team SkyNet --> ma non sono il fottuto bot di Zeus/bot di SkyNet o qualsiasi pezzo di m*** a.. qui non c'è frode.. solo un BIT' di mining. Smettetela di rompermi le palle [sic]."

Facebook ha pubblicato i suoi risultati sulla botnet in unpost di blog esteso.

Nessuna notizia sui danni causati

Sebbene Facebook affermi di aver imparato alcune lezioni smantellando la botnet, non ci sono ancora informazioni ufficiali sui danni causati da Lecpetex.

"La nostra analisi ha rivelato due distinti payload di malware consegnati alle macchine infette: il RAT DarkComet e diverse varianti del software di mining di Litecoin . Alla fine, gli operatori di botnet si sono concentrati sul mining Litecoin per monetizzare il loro pool di sistemi infetti", ha affermato la società.

Sebbene il numero di PC interessati sia relativamente basso rispetto a moltialtre botnet, è probabile che Lecpetex abbia generato alcuni litecoin, anche se il numero è sconosciuto. Lo sforzo di "Bitcoin mixing" citato da Facebook indica anche che i bitcoin sono stati probabilmente rubati dalla botnet.

Secondo i resoconti dei media greci, gli operatori della botnet hanno affermato di utilizzare i dati per "scopi di ricerca", non per guadagno monetario. La coppia erarilasciato dalla custodiaall'inizio di questa settimana.