Bitcoin

Mining-Botnet Mit Facebook für die Infektion Herunterfahren

Die Bedrohung-Infrastruktur-team bei Facebook analysiert die Drohung, Informationen aus der ganzen web zu helfen, halten die Menschen auf Facebook sicher und sicher.

In den letzten sieben Monaten die Facebook-Bedrohung-Infrastruktur-team gekämpft und letztlich dazu beigetragen, ein wenig runter zu bekannten malware-Familie, bekannt als „Lecpetex“, dass die Angreifer versuchten, Sie zu verbreiten über Facebook und andere online-Dienste.

Ende letzten Jahres, Facebook – Missbrauch-fighting-teams gestartet, um zu sehen, eine ausgeprägte neue botnet. Der Angriff wurde auf den Namen „Lecpetex“ durch das Microsoft Malware Protection Center. Basierend auf Statistiken, veröffentlicht durch die Griechische Polizei, das botnet möglicherweise infiziert haben, so viele wie 250.000 Dollar-Computern. Diese Infektionen konnten die Leitung der Botnets zu Kapern die Computer und verwenden Sie zur Förderung der sozialen spam, die Auswirkungen der Nähe zu 50.000 accounts auf Ihrem Höhepunkt. Mehrere technische features der malware-machte es widerstandsfähiger technische Analyse und Störungen Bemühungen. Darüber hinaus Lecpetex Autoren erschienen, um ein gutes Verständnis von anti-virus evasion gemacht, weil Sie ständigen Veränderungen, um die malware-Erkennung zu vermeiden. Insgesamt, die botnet-Betreiber gestartet, mehr als 20 verschiedene spam-Wellen zwischen Dezember 2013 und Juni 2014.

Lecpetex arbeitete fast ausschließlich mit relativ einfachen social-engineering-Techniken zu überlisten Opfer in Ausführung bösartiger Java-Anwendungen und Skripts, die infiziert Ihren Computer.

Grundsätzlich ist das Lecpetex-botnet ist eine Sammlung von Modulen, die installiert auf einem Windows-computer, stehlen kann eine person, die online Anmeldeinformationen und verwenden, dass der Zugang zu sich durch private Nachrichten. Entlang des Weges, self-updates installiert, um zu versuchen zu umgehen anti-virus-Produkte und installiert beliebige ausführbare Dateien. Facebook-Analyse ergab zwei verschiedene malware-payloads geliefert, um infizierte Maschinen: die DarkComet RAT, und einige Variationen von Litecoin-mining-software. Letztlich haben die botnet-Betreiber konzentriert sich auf Litecoin mining Geld verdienen Ihren pool von infizierten Systemen.

In den letzten sieben Monaten Facebook sah, die botnet-Betreiber Experimentieren Sie mit verschiedenen social-engineering-Taktiken, einschließlich der Einbettung von Java JAR-Dateien, die mit Visual Basic Scripts (VBS), und die Schaffung von fehlerhaften ZIP-Archiven und Microsoft Cabinet files (CAB). Die Betreiber setzen erhebliche Anstrengungen in die Umgehung der Facebook-attachment scan-Dienstleistungen durch die Schaffung von vielen Variationen des fehlerhaften zip-Dateien richtig öffnen in Windows, aber würde dazu führen, verschiedene scanning-Techniken zu scheitern. Die Dateien in den spam-Nachrichten wurden ebenfalls aktualisiert Häufig, um auszuweichen Antiviren-Hersteller die Erkennung.

Lecpetex verwendet mehrere Phasen und Module, um Ihre Ziele zu erreichen, einschließlich einer ersten Stufe downloader, Haupt-Modul-loader, main-Modul backdoor, updater, Litecoin miner, und Facebook-spam-Modul. Einige dieser Module, wie der mining aufzustellen und DarkComet RAT gebrauchte Ware software, die frei aus dem Internet heruntergeladen. Andere Komponenten wurden, erscheinen custom-geschrieben von den botnet-Betreiber zu erreichen anti-virus evasion und implementieren eines benutzerdefinierten Befehls-und control-Architektur.

Im Mai 2014 Facebook begann die Umsetzung der neuen back-end-änderungen, die gegen die botnet-software. Münze Feuer gelernt hat, aus Quellen innerhalb von Facebook, die anonym bleiben wollen, dass einige dieser Veränderungen beteiligt sind mehrere Ingenieure auf Facebook zwangsweise infizieren von Rechnern innerhalb der Firma, wurden über gesicherte, virtuelle Bilder, um die Befehle abzufangen und beobachten Sie die änderungen der malware, so dass das Unternehmen besser, die Nachrichten zu filtern, und API-Aufrufe verwendet wurden, sich in Nutzer-feeds und Nachrichten.

Unsere innere Quelle bei Facebook auch bestätigt, ausschließlich für Münzen-Feuer, das eine solche Technik war auf der Suche nach bestimmten Zeilen innerhalb der Datei verwendet, für die Verbreitung heraus zu filtern, gescannte Dateien, die von Antiviren-und antimalware-software installiert auf Facebook-Servern die Bedrohung zu beseitigen.

Wir konnten auch erfahren, dass ein kleines team bei Facebook arbeitete fast ausschließlich auf die Bekämpfung dieses Stück von malware, und arbeitete intensiv mit verschiedenen Strafverfolgungsbehörden zu helfen, die Spur zu den Betreibern des Botnetzes, wurden später verhaftet.

Author Since: Aug 23, 2018

Related Post