Facebook розбиває ботнет для майнінгу Криптовалюта «Lecpetex»

Facebook успішно демонтував великий Bitcoin ботнет, яким керувала невелика команда кіберзлочинців із Греції.

Ботнету Lecpetex вдалося заразити 250 000 комп’ютерів. На своєму піку він скомпрометував аж 50 000 акаунтів у Facebook.

Lecpetex поширювався через платформу соціальних мереж, використовуючи спам-повідомлення зі зловмисним кодом, вставленим у архівовані вкладення.

Кожен zip-архів містив вбудований файл Java, який завантажував і встановлював майнер Litecoin . Він також вкраде файли cookie та отримає доступ до списку друзів жертви, використовуючи його для розсилання ще більшої кількості спаму.

Однак видобуток корисних копалин був не єдиною його функцією. Ботнет також використовувався для розповсюдження більш небезпечного шкідливого програмного забезпечення, призначеного для крадіжки банківських реквізитів, паролів і біткойнів.

Мій великий товстий грецький ботнет

Facebook виявив ботнет Lecpetex кілька місяців тому, і вважається, що він вперше почав поширюватися в грудні.

Гігант соціальних медіа каже, що відстежив понад 20 різних WAVES спаму, розісланого ботнетом у період з грудня 2013 року по червень 2014 року.

30 квітня Facebook звернувся по допомогу до підрозділу кіберзлочинності грецької поліції. Грецьким слідчим вдалося наздогнати авторів ботнету 3 липня, і того ж дня вони були затримані.

Грецька поліція повідомила Facebook, що зловмисники встановлюють «змішування Bitcoin’ сервіс, який дозволить їм відмивати вкрадені біткойни.

Коли грецька поліція почала наближатися до операторів, вони залишили їм замітки на скомпрометованих серверах командування та контролю.

В ONE з таких повідомлень говорилося:

"Привіт, люди.. :) <!-- Розроблено командою SkyNet -->, але я не той ч***ний zeus bot/бот skynet чи будь-яке інше T.. тут ніякого шахрайства.. лише BIT майнінгу. Припиніть ламати мене [sic]."

Facebook опублікував свої висновки щодо ботнету в велика публікація в блозі.

Про заподіяну шкоду нічого не повідомляється

Незважаючи на те, що Facebook каже, що отримав кілька уроків під час демонтажу ботнету, досі немає офіційної інформації про шкоду, яку заподіяв Lecpetex.

"Наш аналіз виявив два різних корисних навантаження зловмисного програмного забезпечення, які доставляються на заражені машини: DarkComet RAT і кілька варіантів програмного забезпечення для майнінгу Litecoin . Зрештою, оператори ботнетів зосередилися на майнінгу Litecoin , щоб монетизувати свій пул заражених систем", - заявили в компанії.

Хоча кількість уражених комп’ютерів відносно низька порівняно з багатьма інші ботнети, імовірно, що Lecpetex згенерував деякі лайткоїни, хоча кількість невідома. Зусилля «змішування Bitcoin », на які посилається Facebook, також вказують на те, що біткойни, ймовірно, були вкрадені ботнетом.

Згідно з повідомленнями грецьких ЗМІ, оператори ботнету стверджували, що вони використовували дані для «дослідницьких цілей», а не для отримання грошової вигоди. Пара була звільнений з-під варти на початку цього тижня.