Facebook har suksessfullt demontert en stor bitcoin botnet operert av et lite team av cyberkriminelle basert i Hellas.

Lecpetex botnet klarte å infisere 250 000 datamaskiner. På toppen av det kompromitterte så mange som 50 000 Facebook-kontoer.

Lecpetex spredt gjennom den sosiale medieplattformen ved hjelp av spammeldinger med ondsinnet kode satt inn i zippede vedlegg.

Hvert zip-arkiv inneholdt en innebygd Java-fil som ville laste ned og installere en litecoin miner. Det vil også stjele informasjonskapsler og få tilgang til offerets venneliste, ved å bruke den til å sende ut enda mer spam.

Gruvedrift var imidlertid ikke den eneste funksjonen. Botnet ble også brukt til å distribuere mer farlig malware utviklet for å stjele bankdetaljer, passord og bitcoins.

Min store fete greske botnet

Facebook oppdaget Lecpetex botnet måneder siden, og det antas at det først begynte å spre seg i desember.

Den gigantiske sosialmediet sier at det spores mer enn 20 forskjellige bølger av spam sendt ut av botnet mellom desember 2013 og juni 2014.

Den 30. april spurte Facebook Cybercrime-underavdelingen av det greske politiet om hjelp. Greske etterforskere klarte å fange opp botnets forfattere den 3. juli og de ble arrestert samme dag.

Gresk politiet fortalte Facebook at gjerningsmennene var i ferd med å etablere en "bitcoin mixing" -tjeneste som ville gjøre dem i stand til å vaske de stjålne bitcoinsene.

Da gresk politiet begynte å lukke på operatørene, forlot de notater for at de skulle finne på kompromitterte kommando- og kontrollservere.

En slik melding leses:

"Hei folk ...:) men jeg er ikke f *** ing zeus bot / skynet bot eller hva som helst av sh * t ... ingen svindel her ... bare litt gruvedrift. Stopp å bryte min ballz [sic]. "

Facebook publiserte sine funn på botnet i et omfattende blogginnlegg.

Ingen ord på skade forårsaket

Selv om Facebook sier det lærte noen leksjoner mens den demonterte botnet, er det fortsatt ingen offisiell informasjon om skaden Lecpetex forårsaket.

"Vår analyse viste to forskjellige malware nyttelaster levert til infiserte maskiner: DarkComet RAT, og flere varianter av litecoin mining programvare. Til slutt fokuserte botnetoperatørene på litecoin-gruvedrift for å tjene penger på deres basseng av infiserte systemer, sier selskapet.

Selv om antall berørte PCer er relativt lave sammenlignet med mange andre botnetter, er det sannsynlig at Lecpetex genererte noen litecoins, selv om nummeret er ukjent. Den "bitcoin mixing" -innsatsen som citeres av Facebook, indikerer også at bitcoins sannsynligvis hadde blitt stjålet av botnet.

Ifølge greske medier rapporterte operatørene av botnet at de brukte dataene for "forskningsformål", ikke økonomisk gevinst.Paret ble løslatt fra forvaring tidligere denne uken.