Компания Facebook обезвредила греческий ботнет, которому удалось взломать 50000 учетных записей, а также инфицировать около 250000 компьютеров. Целью операторов ботнета было хищение криптовалюты, информации об учетных записях электронной почты, банковских данных, а также осуществление спам-рассылки.
Ботнет под названием Lecpetex распространял вредоносное ПО, включая троян DarkComet, который позволяет получить удаленный доступ к информации на компьютере жертв. Помимо этого операторы ботнета использовали вредоносные программы для кражи электронной валюты Litecoin.
Правохранительные органы Греции провели обыск в домах злоумышленников. В результате было установлено, что мошенники похитили большое количество паролей и взломали 114 электронных кошельков. В рамках обыска было изьято четыре ноутбука, USB-накопители, девять жестких дисков, а также два стационарных компьютера.
Принцип действия ботнета Lecpetex выглядел следующим образом:
1. Пользователь получает личное сообщение, как правило с текстом ”lol” и прикрепленным архивом ZIP.
2. Пользователь открывает прикрепленный архив и извлекает архив Java (исполнительный файл).
3. Файл JAR осуществляет загрузку главного модуля Lecpetex с файлообменного сервиса и внедряет его в Windows Explorer.
4. Основной модуль получает инструкции с командных и контрольных сайтов, включая:
- обновление основного модуля
- загрузку, установку и запуск ПО для кражи Litecoin
- загрузку и запуск спам модуля для Facebook
- загрузку и запуск произвольного исполняемого файла (DarkComet RAT)
5. Спам модуль Facebook взламывает учетную запись пользователя посредством хищения cookie-файлов браузеров. Это позволяет получить доступ к списку друзей жертвы. Затем каждому другу из списка отправляется личное сообщение с прикрепленным ZIP архивом, содержащим вредоносное ПО.
Эксперты по информационной безопасности из Menlo Park сообщили, что в период с декабря прошлого года по июнь текущего года 31-летний и 27-летний создатели ботнета осуществили около 20 спам-кампаний. Злоумышленников арестовали на прошлой неделе.
Источник: SecurityLab
|
