ΑρχικήrapidalertΗ ανακοίνωση του Facebook για το Lecpetex πριν από λίγο.

Η ανακοίνωση του Facebook για το Lecpetex πριν από λίγο.

Lecpetex

Διαβάστε την ανακοίνωση του Facebook (στα αγγλικά) αναφορικά με το Lecpetex πριν από λίγο! Το Facebook προσπαθούσε να σταματήσει το Lecpetex επί περίπου 7 (!) μήνες χωρίς αποτέλεσμα!

Μπορείτε να διαβάσετε την συνολική ανακοίνωση/ανάλυση του Facebook [εδώ]

The Threat Infrastructure team at Facebook analyzes threat information from all over the web to help keep people on Facebook safe and secure. We build platforms like ThreatData and work closely with our abuse-fighting teams to stay a step ahead of people who try to use Facebook’s popularity and reach for bad intentions. Over the last seven months we battled and ultimately helped bring down a little known malware family known as “Lecpetex” that attackers were attempting to spread using Facebook and other online services. We coordinated with several industry partners in disrupting the botnet and proactively escalated the the case to law enforcement officials. This post covers the interesting technical elements of the malware and describes our role in taking down the botnet.

facebook-changes-newsfeed-algorithm-640x400

Outline

  1. History and overview
  2. Mechanics of the Lecpetex botnet
  3. Facebook helps take down the botnet
  4. Malware technical detailsDelivery techniques (JAR + VBS + Dropbox)

a. Malware technical detailsDelivery techniques (JAR + VBS + Dropbox)
b. Malware string payload obfuscation (AES128 + SHA1)
c. C2 methodologies (dedicated C2, Pastebin, disposable email accounts)

History and overview

Late last year, our abuse-fighting teams started to see a distinct new botnet. The attack was given the name “Lecpetex” by our peers at the Microsoft Malware Protection Center. Based on statistics released by the Greek Police, the botnet may have infected as many as 250,000 computers. Those infections enabled those directing the botnet to hijack those computers and use them to promote social spam, which impacted close to 50,000 accounts at its peak. As we describe below, there were several technical features of the malware that made it more resilient to technical analysis and disruption efforts. In addition, the Lecpetex authors appeared to have a good understanding of anti-virus evasion because they made continuous changes to their malware to avoid detection. In total, the botnet operators launched more than 20 distinct waves of spam between December 2013 and June 2014.

Lecpetex worked almost exclusively by using relatively simple social engineering techniques to trick victims into running malicious Java applications and scripts that infected their computers. (For more on the success of social engineering being used to induce people to run malicious code, see our recent post about self-XSS).
Facebook_1_0
On April 30, 2014, we escalated the Lecpetex case to the Cybercrime Subdivision of the Greek Police, and the agency immediately showed strong interest in the case. On July 3 the Greek Police reported that the investigation had progressed to the final stage and that two suspects were placed in custody. According to the Greek Police, the authors were in the process of establishing a Bitcoin “mixing” service to help launder stolen Bitcoins at the time of their arrest. More details about their findings are available here.

The heat map below shows the distribution of Lecpetex victims as of June 10, 2014, with the highest concentration of victims found in the vicinity of Greece. Because Lecpetex spread through friend and contact networks, the distribution of victims tended to concentrate in specific geographies. From our analysis, the most frequently affected countries were Greece, Poland, Norway, India, Portugal, and the United States.

The Greek Police developed the following image to illustrate the botnet’s operations as part of a presentation on Lecpetex.

Mechanics of the Lecpetex botnet

To better understand the botnet, here is a bit of additional detail about its capabilities and how the operators used it in an attempt to profit.

facebook-icon

Fundamentally, the Lecpetex botnet is a collection of modules installed on a Windows computer that can  steal a person’s online credentials and use that access to spread through private messages. Along the way, it self-installs updates to try to evade anti-virus products and installs arbitrary executables. Our analysis revealed two distinct malware payloads delivered to infected machines: the DarkComet RAT, and several variations of Litecoin mining software. Ultimately the botnet operators focused on Litecoin mining to monetize their pool of infected systems. We saw reports that the botnet was also seeded using malicious torrent downloads, but did not observe this tactic in our research.

Περισσότερα [εδώ]

Σύμφωνα με το Facebook οι ενέργειες που ακολούθησε για την διερεύνηση του Lecpetex ήταν:

  • Δεκέμβριος του 2013 : Πρώτος εντοπισμός μηνυμάτων από την Ελλάδα
  • Απρίλιος 10-17, 2014 : Περιορισμός δράσης του malware
  • Απρίλιος 30: Αναφορά στις Ελληνικές αρχές
  • Μαίος 2014: Οι δημιουργοί του malware αφήνουν μηνύματα (?) στις σελίδες διαχείρισης του malware. Οι δημιουργοί χρησιμοποιούν αυτοδιαγραφόμενα e-mails (disposable emails) και δημόσιες ιστοσελίδες pastebin για τον έλεγχο
  • Μάιος – Ιούνιος 2014: Το Facebook προσθέτει στοχευμένα μέτρα ασφάλειας για να εμποδίσει την διασπορά του Lecpetex
  • Ιούνιος 2014: Οι δημιουργοί προσθέτουν διασπορά μέσω e-mail στο λογισμικό λόγω των περιορισμών του Facebook.
  • Ιούλιος 3 2014: Η ΕΛ.ΑΣ ανακοινώνει σύλληψη δυο νεαρών ως κύριους δημιουργούς του λογισμικού.

Μερικά σημεία της ανακοίνωσης χρήζουν ιδιαίτερης προσοχής:

  • Καταρχήν στο τέλος της ανακοίνωσης οι υπεύθυνοι διαχείρισης του Facebook αναφέρουν ότι η συνεργασία μπορεί να βοηθήσει στον εντοπισμό νέων τεχνικών, ώστε να βοηθήσουμε τους χρήστες της πλατφόρμας του Facebook. Ίσως θα πρέπει να συνεργαστούν με τους νεαρούς δημιουργούς του Lecpetex για επαύξηση της ασφάλειας της πλατφόρμας κοινωνικής δικτύωσης.
  • Σε κανένα σημείο της ανακοίνωσης δεν στρέφονται εναντίον των δημιουργών του Lecpetex ούτε αναφέρονται για εγκληματικές συμπεριφορές ή κακόβουλες ενέργειες που ζημίωσαν οικονομικά είτε το Facebook είτε οποιονδήποτε χρήστη αυτού.
  • Ο εντοπισμός και ανάλυση του λογισμικού πραγματοποιήθηκε όπως αναφέρουν σε συνεργασία με τους συνεργάτες τους στην Microsoft αλλά και κυβερνητικούς οργανισμούς & αμερικανικές διωκτικές αρχές.
  • Η ανακοίνωση σαφέστατα αναφέρει ότι το λογισμικό διέθετε εξαιρετικές δυνατότητες όπως παράκαμψη antivirus και στοιχεία που εμπόδιζαν την ανάλυσή του από τους ειδικούς, δείγμα του υψηλού γνωστικού επιπέδου των δημιουργών του. Επιπλέον υπερτονίζουν την διαχείριση του λογισμικού με χρήση αυτοδιασπώμενων e-mails αλλά και μέσω του pastebin που δεν είχαν συναντηθεί σε άλλο malware στο παρελθόν.
  • Σε κανένα σημείο δεν αναφέρετε ότι επιτεύχθηκε οικονομικό όφελος από την χρήση του λογισμικού.
  • Υπάρχει πλήρη ταύτιση των ανακοινώσεων της Δ.ΔΗΕ και της ανακοίνωσης του Facebook. Είναι πρώτη φορά μάλιστα που η εταιρεία κολοσσός των κοινωνικών δικτύων επιβραβεύει ΔΗΜΟΣΙΑ την Ελληνική υπηρεσία για το έργο της και την συνεργασία της!!!

Ο υπεύθυνος για την ανάλυση και τον εντοπισμό του λογισμικού Lecpetex είναι μέλος του Facebook Security team και συγκεκριμένα ο Mat Henley αλλά και ο Matt Richard, μηχανικοί ασφαλείας.Ο Mat Henley στην ανακοίνωση [εδώ] αναφέρει ότι ο “Lecpetex δεν έπληξε την υποδομή του Facebook αλλά τα τερματικά των χρηστών”.

Η ανακοίνωση του Facebook επιβεβαιώνει στο ακέραιο τις ανακοινώσεις της ΕΛ.ΑΣ όπως δημοσιοποιήθηκαν στο σχετικό Δελτίο τύπου πριν μερικές ημέρες από τον Ταξίαρχο Μ. Σφακιανάκη.

Τα συμπεράσματα δικά σας!

Σημείωση: Ιδιαίτερο ενδιαφέρον παρουσιάζουν και τα σχόλια Ελλήνων χρηστών του Facebook σχετικά με την ανακοίνωση για το Lecpetex. Μπορείτε να τα διαβάσετε [εδώ] και να συμμετάσχετε στην συζήτηση που έχει ήδη ανοίξει.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS