Facebook ha desmantelado con éxito una importante botnet bitcoin operada por un pequeño equipo de ciberdelincuentes con sede en Grecia.

El botnet Lecpetex logró infectar 250, 000 computadoras. En su punto máximo, comprometió hasta 50,000 cuentas de Facebook.

Lecpetex se propagó a través de la plataforma de redes sociales utilizando mensajes de correo no deseado con código malicioso insertado en archivos adjuntos comprimidos.

Cada archivo zip contenía un archivo Java incrustado que descargaría e instalaría un minero litecoin. También robaría cookies y accedería a la lista de amigos de la víctima, usándola para enviar aún más spam.

Sin embargo, la minería no era su única función. El botnet también se usó para distribuir malware más peligroso diseñado para robar detalles bancarios, contraseñas y bitcoins.

Mi gran botnet griego

Facebook detectó la botnet Lecpetex hace meses y se cree que comenzó a expandirse en diciembre.

El gigante de las redes sociales dice que rastreó más de 20 oleadas distintas de spam enviadas por la botnet entre diciembre de 2013 y junio de 2014.

El 30 de abril, Facebook solicitó asistencia a la Subdivisión de Crímenes Cibernéticos de la Policía Griega. Los investigadores griegos lograron ponerse al día con los autores de la botnet el 3 de julio y fueron detenidos el mismo día.

La policía griega dijo a Facebook que los perpetradores estaban en el proceso de establecer un servicio de "mezcla de bitcoins" que les permitiría lavar los bitcoins robados.

A medida que la policía griega comenzó a acercarse a los operadores, dejaron notas para que los encontraran en servidores de comando y control comprometidos.

Uno de estos mensajes decía:

"Hola gente ...:) pero no soy el maldito zeus bot / skynet bot ni lo que sea ... no hay fraude aquí ... solo un poco de minería. Deja de romper mi ballz [sic]. "

Facebook publicó sus hallazgos en la botnet en una extensa publicación de blog.

No se sabe nada sobre el daño

Aunque Facebook dice que aprendió algunas lecciones mientras desmantelaba la botnet, todavía no hay información oficial sobre el daño causado por Lecpetex.

"Nuestro análisis reveló dos cargas útiles distintas de malware entregadas a las máquinas infectadas: la Darkcomet RAT y varias variaciones del software litecoin mining. En última instancia, los operadores de botnets se centraron en la minería litecoin para monetizar su grupo de sistemas infectados ", dijo la compañía.

Aunque la cantidad de PC afectadas es relativamente baja en comparación con muchas otras botnets, es probable que Lecpetex haya generado algunas litecoins, aunque se desconoce el número. El esfuerzo de "mezcla de bitcoins" citado por Facebook también indica que es probable que el botnet haya robado los bitcoins.

Según los informes de los medios griegos, los operadores de la red de bots afirmaron que estaban usando los datos para "fines de investigación", no ganancia monetaria.La pareja fue liberada de la custodia a principios de esta semana.