Facebook lässt Lecpetex-Botnetz abschalten

Facebooks Sicherheitsteam berichtet mit ausführlichen technischen Details über seinen Kampf gegen eine wenig bekannte Malware-Familie namens „Lecpetex“, deren Verbreitung über Facebook und andere Onlinedienste erfolgte. „Zusammen mit mehreren Branchenpartnern und anderen Onlinediensten konnten wir das Botnetz neutralisieren und übergaben den Fall an die Ermittlungsbehörden“, führt es in einem Blogeintrag aus.

Ende 2013 entdeckten Facebooks Spambekämpfer ein eindeutig neues Botnetz. Das Microsoft Malware Protection Center gab der eingesetzten Malware die Bezeichnung Lecpetex. Nach Statistiken der griechischen Polizei soll sie nicht weniger als 250.000 Computer infiziert haben. Auf dem Höhepunkt der Angriffswelle waren laut Facebook fast 50.000 Konten betroffen. Die Lecpetex-Autoren hätten sich gut darauf verstanden, die Entdeckung durch Antivirus-Software zu vermeiden, indem sie die Malware ständig veränderten. Zwischen Dezember 2013 und Juni 2014 sollen sie das Social Network mit über 20 unterschiedlichen Spamwellen überzogen haben.

Die Verbreitung von Lecpetex soll vor allem über Social Media erfolgt sein
(Bild: Facebook).

Um die Opfer zu überrumpeln, nutzten sie relativ schlichte Social-Engineering-Techniken. Sie verschickten Spam-Nachrichten wie „lol“ und bewegten die Empfänger zum Download eines Anhangs und der Ausführung eines Java-Programms auf ihrem Windows-PC. Dieses sorgte wiederum fürs Nachladen des Lecpetex-Hauptmoduls, das seine Anweisungen von Kommando- und Kontrollservern erhielt. Zusätzlich nachgeladen wurde ein Facebook-Spam-Modul, das das Konto des Nutzers übernahm, indem es Cookies aus seinem Browser entwendete – um sodann private Nachrichten mit angehängter Malware an alle Freunde zu senden.

Zuletzt konzentrierten sich die Angreifer aufs Geldverdienen, indem sie die übernommenen Rechner für das Mining der Kryptowährung Litecoin einsetzten. Dafür luden sie ein weiteres Softwaremodul nach, das die PCs für diesen Zweck einspannte, ohne dass ihre Nutzer es bemerkten.

Die erste Infektion fiel in Griechenland auf. Da die Verbreitung der Malware bevorzugt über Freundeskreise und Kontaktnetze erfolgte, etablierte sich das Botnetz vor allem in bestimmten Regionen. Besonders betroffen waren laut Facebook Griechenland, Polen, Norwegen, Indien, Portugal und die Vereinigten Staaten.

Den Malware-Autoren entging offenbar nicht, dass das Sicherheitsteam auf ihrer Spur war. Sie hinterließen ihm Nachrichten im Hackerslang („stop breaking my ballz“). Mit ihnen versuchten sie klarzustellen, dass sie doch kein kriminelles Botnetz wie Zeus betrieben, es ihnen vielmehr nur um „ein wenig Mining“ gehe. Am 3. Juli verhaftete die Polizei in Griechenland zwei Personen, bei denen es sich angeblich um die Hauptautoren von Lecpetex handelt.

[mit Material von Larry Dignan, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de