Facebook ha smantellato con successo una grossa rete di bitcoin gestita da un piccolo gruppo di cyber criminali con sede in Grecia.

La botnet Lecpetex è riuscita a infettare 250.000 computer. Al suo apice ha compromesso ben 50.000 account Facebook.

Lecpetex si è propagato attraverso la piattaforma di social media utilizzando messaggi di spam con codice malevolo inserito negli allegati zippati.

Ogni archivio zip conteneva un file Java incorporato che scaricava e installava un minibus litecoin. Ruberebbe anche i cookie e otterrà l'accesso alla lista amici della vittima, usandola per inviare ancora più spam.

Tuttavia, il mining non era la sua unica funzione. La botnet è stata anche utilizzata per distribuire malware più pericolosi progettati per rubare dettagli bancari, password e bitcoin.

La mia grossa botnet greca grossa

Facebook ha rilevato la botnet Lecpetex mesi fa e si ritiene che abbia iniziato a diffondersi a dicembre.

Il gigante dei social media afferma di aver monitorato oltre 20 distinte ondate di spam inviate dalla botnet tra dicembre 2013 e giugno 2014.

Il 30 aprile, Facebook ha chiesto assistenza alla divisione per la criminalità informatica della polizia greca. Gli investigatori greci riuscirono a raggiungere gli autori della botnet il 3 luglio e furono detenuti lo stesso giorno.

La polizia greca ha dichiarato a Facebook che i perpetratori erano in procinto di istituire un servizio di "bitcoin mixing" che consentisse loro di riciclare i bitcoin rubati.

Quando la polizia greca ha iniziato a chiudere gli operatori, ha lasciato delle note per trovarli su server di comando e controllo compromessi.

Uno di questi messaggi diceva:

"Salve gente ...:) ma non sono il fottutissimo zeus bot / skynet bot o qualsiasi altro pezzo di sh * t ... nessuna frode qui ... solo un po 'di mining. Smetti di rompere il mio ballz [sic]. "

Facebook ha pubblicato i suoi risultati sulla botnet in un ampio post sul blog.

Nessuna parola sul danno causato

Anche se Facebook dice di aver appreso alcune lezioni mentre smantellava la botnet, non ci sono ancora informazioni ufficiali sul danno causato da Lecpetex.

"La nostra analisi ha rivelato due distinti payload di malware consegnati alle macchine infette: il DarkComet RAT e diverse varianti del software di mining litecoin. In definitiva, gli operatori di botnet si sono concentrati sull'estrazione di litecoin per monetizzare il proprio pool di sistemi infetti ", ha affermato la società.

Sebbene il numero di PC interessati sia relativamente basso rispetto a molte altre botnet, è probabile che Lecpetex abbia generato alcuni litecoins, sebbene il numero sia sconosciuto. Lo sforzo di "bitcoin mixing" citato da Facebook indica anche che probabilmente i bitcoin sono stati rubati dalla botnet.

Secondo i resoconti dei media greci, gli operatori del botnet affermavano che stavano usando i dati per "scopi di ricerca", non per guadagno monetario.La coppia è stata rilasciata dalla custodia all'inizio di questa settimana.