O Facebook disse que a polícia grega realizou na semana passada a prisão de duas pessoas que estariam conectadas com uma botnet pouco conhecida chamada “Lecpetex” que atacava computadores para minerar a moeda virtual Litecoin.

Segundo post publicado na página “Protect the Graph”, do Facebook, pelo menos 50 mil contas de usuários da rede social foram afetadas, assim como 250 mil computadores no mundo todo, primariamente na Grécia, Polônia, Noruega, Índia, Portugal e Estados Unidos.

20 ataques

Os criminosos por trás da Lecpetex lançaram pelo menos 20 campanhas de spam entre dezembro de 2013 e junho de 2014, afetando o Facebook e outros serviços online. Nessas campanhas, as vítimas receberam mensagens privadas com um arquivo .zip anexo que continha um arquivo Java JAR file ou um script Visual Basic.

Se executados, os arquivos poderiam trazer para a máquina infectada outros módulos de malware armazenados em sites remotos. Pelo menos dois tipos de módulos foram identificados: o DarkComet, uma ferramenta de acesso remoto a computadores amplamente utilizada para roubar credenciais de login; ou variantes de um software que faz mineração da moeda virtual Litecoin.

download

Corrida para escapar

Por estar o tempo todo atualizando e mudando os anexos maliciosos, a Lecpetex conseguia escapar dos filtros do Facebook projetados para interromper a distribuição desse tipo de malware. O arquivo malicioso também atualizava a si mesmo, como forma de escapar dos software antivírus.

“Os operadores investiram um bocado de energia para escapar dos nossos serviços de escaneamento de anexos criando diversas variações dos arquivos .zip que podiam ser abertas corretamente no Windows mas que conseguiam escapar das técnicas de filtros de spam”, diz o post, escrito pelo time de ataque a ameaças do Facebook.

Ajuda policial

A empresa disse que buscou ajuda de outros provedores de infraestrutura e da polícia quando percebeu que não conseguiria derrubar a Lecpetex apenas com o uso de software de segurança. “Resolver uma ameaça como a Lecpetex exige uma combinação de recursos técnicos, colaboração com outras empresas do mercado, agilidade em fazer o contraataque e cooperação da polícia”, escreve a empresa.

Os criadores do Lecpetex notaram os esforços do Facebook e, em maio, começaram a deixar avisos nos servidores de comando-e-controle brincando com o fato de que eles sabiam que o Facebook os estava investigando e que eles não estariam envolvidos em fraude.

A divisão de cibercrimes da Grécia foi notificada em 30 de abril. Em 3 de julho a Grécia avisou o Facebook que tinha dois suspeitos em custódia e que eles estariam criando um serviço misto de Bitcoin para ajudar a “lavar” suas atividades. O recurso chamado “mixing services” é uma forma de tornar mais difícil um possível rastreamento de transferências de Bitcoin.

Fonte: IDGnow

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima