Facebook befreit sich von Spam-Botnetz

Die sieben Monate andauernden Bemühungen von Facebook und Partnern bezüglich der Liquidierung des zwar nicht besonders großen, aber sehr zählebigen Zombie-Netzwerks Lecpetex waren schließlich von Erfolg gekrönt. Zu Beginn des laufenden Monats nahm die griechische Polizei zwei mutmaßliche Autoren und Betreiber des Schädlings fest, der Schadspam in dem sozialen Netzwerk verbreitet hat.

„Den neusten Bedrohungen immer eine Nasenlänge voraus zu sein, ist eine schwierige Aufgabe, und Lecpetex hat sich als besonders hartnäckig erwiesen“, unterstreicht Facebook in einer Erklärung, und wies gleichzeitig auf die gute Zusammenarbeit mit der Abteilung für Cyberkriminalität der griechischen Polizei hin. „Wir hoffen, dass unser Beispiel anschaulich gezeigt hat, wie sinnvoll und zielführend eine Kooperation bei der Zerschlagung von Botnetzen sein kann, besonders, wenn die Cyberkriminellen viele Online-Plattformen benutzen, um ihre Ziele zu erreichen.“

Laut Facebook ist Lecpetex ein modularer Windows-Schädling, der in der Lage ist, Schlüssel zu Accounts stehlen, Spam zu versenden, sich zu aktualisieren, andere Schaddateien zu laden und diese auch auszuführen. Im Laufe der Untersuchung installierte der Bot auf Befehl des C&C eine Komponente zum Spam-Versand sowie DarkComet RAT und Litecoin-Miner. Es ist bemerkenswert, dass das Spam-Modul von Lecpetex Zugriff auf den Account des Opfers erhält, indem er Cookies aus dem Browser stiehlt, und dass er diesen Zugriff benutzt, um Schadspam an die Kontaktliste des Opfers („Freunde“) zu versenden.

Lecpetex verbreitet sich über schädliche Attachments im Spam, die den Rechner auf verschiedene Arten infizieren. Zunächst bringen die Angreifer die Anwender mit Hilfe von Social-Engineering-Tricks dazu, einen ZIP-Anhang zu öffnen und die darin enthaltene JAR-Datei auszuführen. Als Folge wird auf den Rechner des Opfers von einem kostenlosen Filesharing-Netz das Lecpetex-Hauptmodul geladen, das alle weiteren Dowloads auf Befehl vom C&C-Server umsetzt. “Uns lagen Berichte über Downloads von Torrents aus vor”, erklären die Forscher, “doch uns selbst sind solche Fälle nicht begegnet.“

Von Dezember bis Juni registrierte Facebook 20 verschiedene Spam-Versendungen, die von den Betreibern dieses Botnetzes durchgeführt wurden. In Spitzenzeiten kontrollierte Lecpetex 50.000 Accounts und die Botmaster unternahmen größte Anstrengungen, um die Funktionsfähigkeit und Aktivität des Zombie-Netzes aufrecht zu erhalten.

„Sieben Monate lang beobachteten wir, wie die Betreiber experimentierten, indem sie die Social-Engineering-Elemente variierten: Sie integrierten JAR-Dateien, wandten VBS-Skripte an, entstellten absichtlich CAB- und ZIP-Dateien, heißt es in dem Facebook-Bericht. „Die Botmaster unternahmen große Anstrengungen, um unseren Dienst zum Scannen von Anhängen zu umgehen und erstellten unermüdlich spezielle ZIP-Dateien, die sich normal in Windows öffnen lassen, jedoch in der Lage sind, die Scanner in die Irre zu führen. Die Dateien, die in den Spam-Mails benutzt wurden, wurden ebenfalls häufig aktualisiert, um zu vermeiden, dass sie von Antiviren-Programmen erkannt werden.“

Nach Angaben von Facebook und der griechischen Cyberpolizei schaffte es Lecpetex, um die 250.000 Computer zu infizieren. Die meisten Opfer wurden in Griechenland registriert, viele Infektionen wurden auch in Polen, Portugal, Norwegen, Indien und den USA festgestellt.

Auf Facebook wurde die neue Bedrohung im Dezember letzten Jahres entdeckt, in einer Spitzenzeit der Spam-Aktivität. Es folgten verschiedene Maßnahmen, die es ermöglichten, eine Reihe von Kontrollservern und Accounts zu blockieren, die zur Verbreitung, zum Testen und zur Monetarisierung des Schädlings verwendet wurden. Daraufhin wandte sich Facebook an die griechischen Strafverfolgungsbehörden und sicherte sich deren Unterstützung zu. Die Botnetzbetreiber waren gezwungen, ihre Position aufzugeben und ihre Steuerungszentren auf Wegwerf-E-Mail-Dienste und daraufhin auf Pastebin zu verlegen, was ihnen allerdings auch nicht geholfen hat.

In den griechischen Medien werden die Festgenommenen als „Informatikstudenten“ bezeichnet. Eine dieser Quellen bestätigt, dass sie nicht nur Registrierungsdaten für Facebook gestohlen haben, sondern auch Anmeldeinformationen für Bank- und PayPal-Konten, und sogar das –E-Mail-Passwort eines griechischen Ministeriums abgreifen konnten.

Quellen: Threatpost
Facebook

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.