Facebook hat ein griechisches Botnet demontiert. Dieses hatte zu besten Zeiten rund 50.000 Benutzerkonten kompromittiert und 250.000 Rechner infiziert. Ziel: Das Sammeln von Krypto-Währungen, der Diebstahl von E-Mail- und Banking-Daten sowie die Versendung von Spam.

Das Botnet namens Lecpetex verbreitete Malware durch Techniken des Social Engineering und war sehr geschickt beim Umgehen von Anti-Viren-Programmen. Auch Sicherheitsforscher konnten es lange nicht entdecken. Mit enthalten in dem Software-Paket war der DarkComet Remote-Access-Trojaner (RAT).

Die beiden 31- und 27-jährigen Verantwortlichen hinter dem Botnet führten insgesamt 20 Spam-Kampagnen im Zeitraum von Dezember 2013 bis Juni 2014 durch. Anfang Juli wurden sie dann gefasst.

Facebook in einem inoffiziellen Post:

„Am 30. April benachrichtigten wir die griechische Polizei von dem Lecpetex-Fall. Die Behörde war sofort sehr interessiert. Der griechischen Polizei zufolge waren die Verantwortlichen gerade dabei, einen ‚Bitcoin-Mix-Dienst‘ einzurichten. Damit wollten sie gestohlene Bitcoins waschen.

Letzten Endes erfordert eine Bedrohung wie Lecpetex eine Kombination aus technischen Analyse-Fähigkeiten, Zusammenarbeit mit der Industrie, Flexibilität beim Einsatz neuer Gegenmaßnahmen sowie die Kooperation mit Strafverfolgungsbehörden.“

Für die Abteilung Cyberkriminalität der griechischen Polizei war es der bisher wichtigste Fall. Scheinbar war auch das griechische Ministerium für die Handelsmarine von dem Passwortklau betroffen.

Bei der Razzia fand die Polizei Listen entwendeter Passwörter und 114 betroffene Geldbörsen mit Krypto-Währungen. Außerdem beschlagnahmten sie vier Laptops und USB-Sticks, neun Festplatten und zwei Bildschirme.

Lecpetex verschaffte sich Zugang zu Facebook-Konten und verbreitete sich dann über private Nachrichten. Die Module konnten Aktualisierungen der Anti-Viren-Programme sabotieren und Programme wie zum Beispiel DarkComet oder das Litecoin-Mining-Kit ausführen. Die Hacker machten sich auch die Java JAR-Ausführungsdatei zunutze oder benutzten eine Visual Basic-Skript.

Facebook hat bereits vorher schon Botnets zum Erliegen gebracht, unter anderem Mariposa und den Koobface-Wurm.

Artikel von scmagazine.com, 09.07.2014: Facebook disrupts cryptocurrency-mining botnet Lecpetex
Artikel von theregister.co.uk, 09.07.2014: Facebook scuttles 250k-strong crypto-currency botnet