Grčka policija uhapsila odgovorne za širenje malvera Lecpetex preko poruka na Facebooku

Društvene mreže, 09.07.2014, 10:39 AM

Facebook je saopštio da je grčka policija uhapsila dve osobe zbog sumnje da su povezane sa malo poznatim malverom “Lecpetex”, koji su kriminalci pokušavali da distribuiraju preko Facebooka i drugih online servisa i koji je koristio hakovane računare za širenje spama i za kopanje digitalne valute Litecoin.

Krajem prošle godine, Facebookov tim za zaštitu infrastrukture od pretnji i zloupotreba primetio je napade malvera koji su iz Microsoftovog Centra za zaštitu od malvera nazvali “Lecpetex”. Prema podacima grčke policije, ovaj malver je do sada zarazio više od 250000 računara koji su korišćeni za spam na društvenoj mreži, koji je na vrhuncu aktivnosti bot mreže uticao na skoro 50000 Facebook naloga.

Najviše računara zaraženih malverom Lecpetex bilo je u Grčkoj, Poljskoj, Norveškoj, Indiji, Portugaliji, SAD, ali i u Srbiji.

Iz Facebooka kažu da su autori malvera očigledno dobri poznavaoci tehnika za izbegavanje detekcije antivirusa, pa je je zato kod malvera Lecpetex neprestano menjan.

Operateri bot mreže su pokrenuli više od 20 spam kampanja u periodu od decembra prošle godine do juna ove godine.

Lecpetex skoro isključivo koristi relativno jednostavne tehnike društvenog inženjeringa da bi prevario potencijalne žrtve da pokrenu zlonamerne Java aplikacije i skripte i tako inficiraju svoje računare. Žrtve su dobijale privatne poruke koje su obično sadržale samo “lol” i “.zip” fajl koji je sadržao Java JAR fajl ili Visual Basic skriptu.

U osnovi, malver Lecpetex je skup modula instaliranih na Window računaru koji mogu ukrasti korisnička imena i lozinke za online naloge korisnika računara koje zatim koriste za širenje malvera preko privatnih poruka. Usput, malver instalira i ispravke da bi izbegao detekciju od strane antivirusnih programa. Analiza Facebookovog tima je otkrila dva payloada koji se isporučuju na zaražene računare: DarkComet RAT i nekoliko varijacija softvera za kopanje Litecoina.

U .zip fajlu koji korisnik dobija u poruci na Facebooku nalazi se JAR fajl koji kada se pokrene preuzima glavni modul malvera Lecpetex sa besplatnog servisa za deljenje fajlova. Glavni modul zatim dobija instrukcije sa C&C servera, koje uključuju ažuriranje glavnog modula, preuzimanje, instalaciju i pokretanje softvera za kopanje Litecoina, preuzimanje i pokretanje modula za Facebook spam i preuzimanje i pokretanje modula kao što je DarkComet RAT.

Tokom prethodnih sedam meseci, operateri bot mreže eksperimentisali su sa različitim tehnikama društvenog inženjeringa, a da bi izbegli detekciju Facebookovih skenera autori malvera su isprobavali brojne varijacije zip fajlova, kao i fajlova sadržanih u njima.

Kada su iz Facebooka shvatili da tradicionalni antivirusi neće moći sami da reše problem ove pretnje, kompanija je zajedno sa provajderima instrukture i nadležnim policijskim organima započela akciju protiv ove bot mreže.

Zanimljivo je da su u maju autori malvera počeli da ostavljaju poruke za Facebookov tim zadužen za bezbednost društvene mreže na svojim C&C serverima (“Hello people.. :) but am not the f***ing zeus bot/skynet bot or whatever piece of sh*t.. no fraud here.. only a bit of mining. Stop breaking my ballz..”). U Facebooku pretpostavljaju da su operateri bot mreže ovo radili znajući da je njihov tim pokrenuo istragu, ali i osećajući posledice Facebookovih pokušaja da se zaustavi širenje malvera.

30. aprila ove godine, Facebook je o ovome obavestio Odeljenje za visokotehnološki kriminal grčke policije, jer je najveći broj spam poruka dolazio upravo iz ove zemlje, a grčka policija je odmah reagovala tako da je već 3. juna obavestila Facebook da se istraga privodi kraju i da je dvoje osumnjičenih u pritvoru.