Facebook desactiva Lecpetex, una botnet dedicada a robar bitcoins

eset_nod32_antivirus_facebook_contactos_confianza_1

Cuando hablamos de Facebook en este blog, casi siempre es para avisar sobre nuevas amenazas que utilizan la popular red social para propagarse o para alertar de problemas de seguridad. Muchos no lo saben, pero Facebook tiene departamentos dedicados a luchar contra estas amenazas y colaborar con las autoridades para detener a los responsables.

Un ejemplo de esta lucha contra el cibercrimen lo tenemos en la reciente operación que ha culminado tras siete meses de investigación y que ha conseguido desactivar una botnet con más de 250.000 sistemas infectados y que se dedicaba al robo de bitcoines. Además, gracias a la colaboración con las Fuerzas y Cuerpos de Seguridad, se ha conseguido detener a las dos personas responsables de ella.

Fue a finales del año pasado cuando se empezó a detectar esta nueva botnet. Aquellos usuarios que se infectaban quedaban bajo el control de los delincuentes y lanzaban campañas de spam a través de la red social, llegando a alcanzar a 50.000 cuentas en su punto álgido. En total se realizaron 20 de estas campañas entre dciembre de 2013 y junio de 2014.

Entre los países más afectados se encuentran Grecia, Polonia, Noruega, India, Portugal y los Estados Unidos. España y países de Latinoamérica también se vieron afectados aunque en menor medida, tal y como se observa en el siguiente mapa.

mapa

Los métodos que usaban los creadores de Lecpetex consistían en sencillas técnicas de ingeniería social para conseguir que los usuarios se descargaran ficheros infectados que hacían pasar por fotografías inofensivas. No obstante, la realidad era que estos archivos contenían aplicaciones Java maliciosas que infectaban los sistemas de aquellos usuarios que intentaban abrirlas.

lolfbLos investigadores de Facebook se comunicaron con los agentes de la unidad de cibercrimen de la policía griega y el pasado 3 de julio estos anunciaron que habían conseguido detener a dos personas de 31 y 27 como sospechosos de estar al mando de esta botnet. Además de utilizar esta red de equipos zombis para propagar sus amenazas, también los utilizaban para minar bitcoines y robarlas de aquellos usuarios que ya tuvieran algunas en su poder.

Tras analizarla a fondo, se podría decir que la botnet Lecpetex es una colección de módulos que se instalan en un sistema Windows y permiten robar las credenciales del usuario para suplantar su identidad y enviar mensajes entre sus contactos que sigan propagando esta amenaza. Además, los delincuentes actualizaban frecuentemente el malware para tratar de evadir los motores antivirus e instalar nuevos ficheros ejecutables. Entre estos ejecutables se encontraban la herramienta de control remoto DarkComet y diversas versiones del sistema de minería de Litecoines. También se propagaba utilizando ficheros maliciosos a través de redes de compartición de torrents.

funcionamiento

A pesar de que este malware utilizaba alguna característica medianamente avanzada, la forma en la que conseguía que los usuarios se descargasen el fichero malicioso era de lo más sencilla. Utilizar la confianza que nos dan nuestros contactos en las redes sociales, como hace años se hacía con los servicios de mensajería instantánea, siempre ha dado buen resultado a los criminales. Es nuestra responsabilidad permanecer alerta ante ficheros sospechosos, independientemente de quien nos lo envíe, ya que muchas veces bajamos la guardia solo porque el remitente es alguien de confianza.

Josep Albors

Basura informática y la protección de datos