Facebook heeft met succes een groot bitcoin-botnet ontmanteld dat wordt beheerd door een klein team van cybercriminelen in Griekenland.

Het Lecpetex-botnet is erin geslaagd 250.000 computers te infecteren. Op zijn hoogtepunt bracht het maar liefst 50.000 Facebook-accounts in gevaar.

Lecpetex verspreidde zich via het sociale mediaplatform met behulp van spamberichten met schadelijke code die in gezipte bijlagen werd ingevoegd.

Elk zip-archief bevatte een ingesloten Java-bestand dat een litecoin-mijnwerker zou downloaden en installeren. Het zou ook cookies stelen en toegang krijgen tot de vriendenlijst van het slachtoffer, waardoor het gebruikt wordt om nog meer spam te verzenden.

Mijnbouw was echter niet de enige functie. Het botnet werd ook gebruikt voor het verspreiden van gevaarlijkere malware die is ontworpen om bankgegevens, wachtwoorden en bitcoins te stelen.

Mijn grote, vette Griekse botnet

Facebook heeft het Lecpetex-botnet maanden geleden ontdekt en men gelooft dat het zich in december voor het eerst begon te verspreiden.

De socialemediagigant zegt dat het tussen 20 december 2013 en juni 2014 meer dan 20 verschillende soorten spam heeft gevolgd die door het botnet zijn verzonden.

Op 30 april vroeg Facebook de afdeling Cybercrime van de Griekse politie om hulp. Griekse onderzoekers slaagden erin de auteurs van het botnet in te halen op 3 juli en werden op dezelfde dag vastgehouden.

De Griekse politie vertelde Facebook dat de daders bezig waren met het opzetten van een 'bitcoin mixing'-service waarmee ze de gestolen bitcoins konden witwassen.

Terwijl de Griekse politie begon aan te sluiten bij de operators, lieten ze notities achter die ze konden vinden op gecompromitteerde commando- en controleservers.

Een van deze berichten luidt:

"Hallo mensen ...:) maar ben geen f *** ing zeus bot / skynet bot of wat voor stuk dan ook ... hier geen fraude ... alleen een beetje mijnbouw. Stop met het breken van mijn ballz [sic]. "

Facebook publiceerde zijn bevindingen over het botnet in een uitgebreide blogpost.

Geen woord over schade veroorzaakt

Hoewel Facebook zegt dat het een paar lessen heeft geleerd toen het het botnet ontmantelde, is er nog steeds geen officiële informatie over de schade die Lecpetex heeft veroorzaakt.

"Uit onze analyse kwamen twee verschillende malware-payloads naar geïnfecteerde machines naar voren: de DarkComet RAT en verschillende varianten van litecoin-mijnsoftware. Uiteindelijk richtten de botnetoperators zich op litecoin mining om inkomsten te genereren met hun pool van geïnfecteerde systemen, "aldus het bedrijf.

Hoewel het aantal getroffen pc's relatief laag is in vergelijking met veel andere botnets, is het waarschijnlijk dat Lecpetex enkele litecoins heeft gegenereerd, hoewel het aantal onbekend is. De 'bitcoin mixing'-inspanning van Facebook geeft ook aan dat bitcoins waarschijnlijk door het botnet zijn gestolen.

Volgens Griekse mediaberichten beweerden de exploitanten van het botnet dat ze de gegevens voor "onderzoeksdoeleinden" gebruikten, niet voor geldelijk gewin.Het paar werd eerder deze week vrijgelaten uit hechtenis.