Facebook s’est débarrassé d’un réseau de zombies de spam

Après sept mois d’efforts, Facebook et ses partenaires ont réussi à éliminer le réseau de zombies Lecpetex qui était très actif malgré sa taille modeste. Au début du mois, la police grecque a arrêté les deux auteurs et opérateurs présumés du programme malveillant qui propageait des messages non sollicités dans le réseau social.

Dans son communiqué, Facebook évoquait non seulement l’appui efficace offert par les services de lutte contre la cybercriminalité de la police grecque et indiquait également que "tenter de garder une longueur d’avance face aux nouvelles menaces n’était pas chose aisée et Lecpetex s’était montré particulièrement résilient. Nous espérons que notre exemple aura clairement démontré que la coopération est un élément primordial et efficace dans la lutte contre les réseaux de zombies, surtout lorsque les individus malintentionnés utilisent de nombreuses plateformes en ligne pour atteindre leur objectif."

D’après les informations fournies par Facebook, Lecpetex est un programme malveillant modulaire sous Windows qui est capable de voler les informations d’authentification des comptes, de diffuser des messages non sollicités, de se mettre à jour, de télécharger d’autres fichiers malveillants et de les exécuter. Lors de la vérification, le bot, sur instructions du centre de commande, installait un module de diffusion de messages non sollicités via Facebook ainsi que l’outil d’administration à distance DarkComet et une application de minage Litecoin. Il est intéressant de voir que le module de courrier indésirable de Lecpetex accède au compte de la victime en volant un cookie dans le navigateur et exploite cet accès pour diffuser un message non sollicité malveillant aux "amis" de la victime.

Lecpetex se propage via des pièces jointes malveillantes dans des messages non sollicités. Plusieurs méthodes d’infection sont utilisées. Tout d’abord, les auteurs de l’attaque exploitent l’ingénierie sociale pour amener l’utilisateur à ouvrir l’archive ZIP en pièce jointe et à exécuter le fichier JAR intégré. Le module principal de Lecpetex est téléchargé sur l’ordinateur de la victime depuis un serveur gratuit d’échange de fichiers. Ce module réalise ensuite le reste du téléchargement sur la base des instructions reçues depuis le centre de commande. Les chercheurs précisent : "Nous avons reçu des rapports qui évoquent le téléchargement de ce bot depuis des torrents, mais nous n’avons rencontré aucun cas de ce type."

Entre décembre et juin, Facebook a recensé 20 campagnes différentes de diffusion de messages non sollicités menées par les exploitants de ce réseau de zombies. Au pic de son activité, Lecpetex contrôlait 50 000 comptes et les opérateurs du réseau déployaient tous les efforts pour préserver son fonctionnement et son activité.

"Nous avons observé pendant 7 mois les expérimentations des opérateurs du réseau de zombies qui modifient les éléments d’ingénierie sociale : implantation de fichiers JAR, application de scripts VBS, modification préméditée des fichiers CAB et des archives ZIP" peut on lire dans le rapport de Facebook. "Les opérateurs du bot ont déployé de grands efforts pour déjouer notre service d’analyse des pièces jointes et n’ont jamais cessé de modifier les fichiers ZIP spécialement créés qui s’ouvrent normalement sous Windows, mais qui sont capables de tromper les moteurs d’analyse. Ces fichiers envoyés dans les messages non sollicités étaient également actualisés selon une fréquence élevée afin d’éviter que les logiciels antivirus ne les détectent".

D’après les données de Facebook et de la cyberpolice grecque, Lecpetex aurait infecté près de 250 000 ordinateurs. La majorité des victimes vit en Grèce, mais on recense également un nombre important d’infections en Pologne, au Portugal, en Norvège, en Inde et aux Etats-Unis.

C’est en décembre de l’année dernière, pendant le pic d’activité de la campagne de messages non sollicités, que la nouvelle menace avait été découverte sur Facebook. Un train de mesures fut adopté ensuite afin de bloquer plusieurs serveurs de commande et compte utilisés pour diffuser, tester et rentabiliser le programme malveillant. Ensuite, Facebook a contacté les autorités judiciaires et policières grecques et leur a fourni une assistance. Les opérateurs du bot furent obligés de battre en retraite et de transférer les centres de commande sur un service de messagerie à usage unique, puis sur Pastebin, mais en vain.

La presse grecque présente les individus interpellés comme des "étudiants en informatique". Un journal affirme même que le vol ne s’est pas limité aux informations d’identification sur Facebook, mais qu’il a touché également des mots de passe d’accès à PayPal ou à des services de transactions bancaires par Internet et même le mot de passe de la messagerie d’un ministère grec.

Threatpost
Facebook

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *