Lecpetex

[gounara]

Απο της 2-7-2014 , 2 Ελληνες εχουν συλληφθει απο την ΔΗΕ για τον Lecpetex, τον ιο που ηταν πριν καποιους μηνες στο FB. Εξαιτιας αυτου του ιου το FB αναγκαστηκε κ αλλαξε 3 φορες την πολιτικη προστασιας του. Τα παιδια αντιμετωπιζουν κατηγοριες κακουργηματος και ποινη φυλακισης ανω των 5 ετων. Θεωρουμε πως τετοια μυαλα, δεν θα επρεπε να καταληγουν στην φυλακη, . Ας βοηθησουμε οσο μπορουμε κ εμεις....

Απο το fb.

[adrian]

αλλο η διαδικτυακη ελευθερια και τα ψηφιακα δικαιωματα που ευαγγελιζομαστε,
και αλλο η ανομια και ασυδοσια των κακοβουλων πραξεων και λογισμικων

κατα την γνωμη μου, καλα καναν και τους συνελαβαν.

[Petros]

Εγώ πάντως πριν μάθω αναλυτικά τι και πως δεν μπορώ να πάρω καμία θέση

[Κομπειλάδας]

Last News (κοπυπαστέ από secnews), on that:

Η ανακοίνωση του Facebook για το Lecpetex πριν από λίγο.

Διαβάστε την ανακοίνωση του Facebook (στα αγγλικά) αναφορικά με το Lecpetex πριν από λίγο! Το Facebook προσπαθούσε να σταματήσει το Lecpetex επί περίπου 7 (!) μήνες χωρίς αποτέλεσμα!

Μπορείτε να διαβάσετε την συνολική ανακοίνωση/ανάλυση του Facebook [ εδώ ]

The Threat Infrastructure team at Facebook analyzes threat information from all over the web to help keep people on Facebook safe and secure. We build platforms like ThreatData and work closely with our abuse-fighting teams to stay a step ahead of people who try to use Facebook’s popularity and reach for bad intentions. Over the last seven months we battled and ultimately helped bring down a little known malware family known as “Lecpetex” that attackers were attempting to spread using Facebook and other online services. We coordinated with several industry partners in disrupting the botnet and proactively escalated the the case to law enforcement officials. This post covers the interesting technical elements of the malware and describes our role in taking down the botnet.

Η ανακοίνωση του Facebook για το Lecpetex πριν από λίγο.

Outline

1. History and overview
2. Mechanics of the Lecpetex botnet
3. Facebook helps take down the botnet
4. Malware technical detailsDelivery techniques (JAR + VBS + Dropbox)

a. Malware technical detailsDelivery techniques (JAR + VBS + Dropbox)
b. Malware string payload obfuscation (AES128 + SHA1)
c. C2 methodologies (dedicated C2, Pastebin, disposable email accounts)

History and overview

Late last year, our abuse-fighting teams started to see a distinct new botnet. The attack was given the name “Lecpetex” by our peers at the Microsoft Malware Protection Center. Based on statistics released by the Greek Police, the botnet may have infected as many as 250,000 computers. Those infections enabled those directing the botnet to hijack those computers and use them to promote social spam, which impacted close to 50,000 accounts at its peak. As we describe below, there were several technical features of the malware that made it more resilient to technical analysis and disruption efforts. In addition, the Lecpetex authors appeared to have a good understanding of anti-virus evasion because they made continuous changes to their malware to avoid detection. In total, the botnet operators launched more than 20 distinct waves of spam between December 2013 and June 2014.

Lecpetex worked almost exclusively by using relatively simple social engineering techniques to trick victims into running malicious Java applications and scripts that infected their computers. (For more on the success of social engineering being used to induce people to run malicious code, see our recent post about self-XSS).

On April 30, 2014, we escalated the Lecpetex case to the Cybercrime Subdivision of the Greek Police, and the agency immediately showed strong interest in the case. On July 3 the Greek Police reported that the investigation had progressed to the final stage and that two suspects were placed in custody. According to the Greek Police, the authors were in the process of establishing a Bitcoin “mixing” service to help launder stolen Bitcoins at the time of their arrest. More details about their findings are available here.

The heat map below shows the distribution of Lecpetex victims as of June 10, 2014, with the highest concentration of victims found in the vicinity of Greece. Because Lecpetex spread through friend and contact networks, the distribution of victims tended to concentrate in specific geographies. From our analysis, the most frequently affected countries were Greece, Poland, Norway, India, Portugal, and the United States.

The Greek Police developed the following image to illustrate the botnet’s operations as part of a presentation on Lecpetex.

Mechanics of the Lecpetex botnet

To better understand the botnet, here is a bit of additional detail about its capabilities and how the operators used it in an attempt to profit.

Fundamentally, the Lecpetex botnet is a collection of modules installed on a Windows computer that can steal a person’s online credentials and use that access to spread through private messages. Along the way, it self-installs updates to try to evade anti-virus products and installs arbitrary executables. Our analysis revealed two distinct malware payloads delivered to infected machines: the DarkComet RAT, and several variations of Litecoin mining software. Ultimately the botnet operators focused on Litecoin mining to monetize their pool of infected systems. We saw reports that the botnet was also seeded using malicious torrent downloads, but did not observe this tactic in our research.

Περισσότερα [ εδώ ]

Σύμφωνα με το Facebook οι ενέργειες που ακολούθησε για την διερεύνηση του Lecpetex ήταν:

* Δεκέμβριος του 2013 : Πρώτος εντοπισμός μηνυμάτων από την Ελλάδα
* Απρίλιος 10-17, 2014 : Περιορισμός δράσης του malware
* Απρίλιος 30: Αναφορά στις Ελληνικές αρχές
* Μαίος 2014: Οι δημιουργοί του malware αφήνουν μηνύματα (?) στις σελίδες διαχείρισης του malware. Οι δημιουργοί χρησιμοποιούν αυτοδιαγραφόμενα e-mails (disposable emails) και δημόσιες ιστοσελίδες pastebin για τον έλεγχο
* Μάιος – Ιούνιος 2014: Το Facebook προσθέτει στοχευμένα μέτρα ασφάλειας για να εμποδίσει την διασπορά του Lecpetex
* Ιούνιος 2014: Οι δημιουργοί προσθέτουν διασπορά μέσω e-mail στο λογισμικό λόγω των περιορισμών του Facebook.
* Ιούλιος 3 2014: Η ΕΛ.ΑΣ ανακοινώνει σύλληψη δυο νεαρών ως κύριους δημιουργούς του λογισμικού.

Μερικά σημεία της ανακοίνωσης χρήζουν ιδιαίτερης προσοχής:

* Καταρχήν στο τέλος της ανακοίνωσης οι υπεύθυνοι διαχείρισης του Facebook αναφέρουν ότι η συνεργασία μπορεί να βοηθήσει στον εντοπισμό νέων τεχνικών, ώστε να βοηθήσουμε τους χρήστες της πλατφόρμας του Facebook. Ίσως θα πρέπει να συνεργαστούν με τους νεαρούς δημιουργούς του Lecpetex για επαύξηση της ασφάλειας της πλατφόρμας κοινωνικής δικτύωσης.

* Σε κανένα σημείο της ανακοίνωσης δεν στρέφονται εναντίον των δημιουργών του Lecpetex ούτε αναφέρονται για εγκληματικές συμπεριφορές ή κακόβουλες ενέργειες που ζημίωσαν οικονομικά είτε το Facebook είτε οποιονδήποτε χρήστη αυτού.

* Ο εντοπισμός και ανάλυση του λογισμικού πραγματοποιήθηκε όπως αναφέρουν σε συνεργασία με τους συνεργάτες τους στην Microsoft αλλά και κυβερνητικούς οργανισμούς & αμερικανικές διωκτικές αρχές.

* Η ανακοίνωση σαφέστατα αναφέρει ότι το λογισμικό διέθετε εξαιρετικές δυνατότητες όπως παράκαμψη antivirus και στοιχεία που εμπόδιζαν την ανάλυσή του από τους ειδικούς, δείγμα του υψηλού γνωστικού επιπέδου των δημιουργών του. Επιπλέον υπερτονίζουν την διαχείριση του λογισμικού με χρήση αυτοδιασπώμενων e-mails αλλά και μέσω του pastebin που δεν είχαν συναντηθεί σε άλλο malware στο παρελθόν.

* Σε κανένα σημείο δεν αναφέρετε ότι επιτεύχθηκε οικονομικό όφελος από την χρήση του λογισμικού.

Ο υπεύθυνος για την ανάλυση και τον εντοπισμό του λογισμικού Lecpetex είναι μέλος του Facebook Security team και συγκεκριμένα ο Mat Henley αλλά και ο Matt Richard, μηχανικοί ασφαλείας.Ο Mat Henley στην ανακοίνωση [εδώ] αναφέρει ότι ο “Lecpetex δεν έπληξε την υποδομή του Facebook αλλά τα τερματικά των χρηστών”.

Η ανακοίνωση του Facebook επιβεβαιώνει στο ακέραιο τις ανακοινώσεις της ΕΛ.ΑΣ όπως δημοσιοποιήθηκαν στο σχετικό Δελτίο τύπου πριν μερικές ημέρες.

Τα συμπεράσματα δικά σας!

Σημείωση: Ιδιαίτερο ενδιαφέρον παρουσιάζουν και τα σχόλια Ελλήνων χρηστών του Facebook σχετικά με την ανακοίνωση για το Lecpetex. Μπορείτε να τα διαβάσετε [ εδώ ] και να συμμετάσχετε στην συζήτηση που έχει ήδη ανοίξει.

[Κομπειλάδας]

ε, ρε δόξες!

Μέχρι και ο Μαρκ Ζάκερμπεργκ «υποκλίθηκε» στη Δίωξη Ηλεκτρονικού Εγκλήματος της Ελλάδας

[James]

Ελεύθεροι οι δημιουργοί του Lecpetex! Μηδενικό το οικονομικό όφελος σύμφωνα με πληροφορίες!
Πηγή:
http://www.secnews.gr/archives/80902

[Petros]

Δύο Έλληνες crackers ενέταξε η Δίωξη Ηλεκτρονικού Εγκλήματος στη δύναμη της, σε μια προσπάθεια ενίσχυσης του «οπλοστασίου» της στη μάχη πάταξης του ηλεκτρονικού εγκλήματος.
Σύμφωνα με τον Ελεύθερο Τύπο, πρόκειται για δύο νεαρούς, 19 και 16 χρόνων, που είχαν κατηγορηθεί στο πρόσφατο παρελθόν σε ξεχωριστές υποθέσεις cracking. Σε βάρος τους είχαν επιβληθεί περιοριστικοί όροι απαγόρευσης εξόδου από τη χώρα και παρουσία τους δύο φορές τον μήνα στο αστυνομικό τμήμα της περιοχής τους.
Η ανακρίτρια τους πρότεινε την αντικατάσταση των περιοριστικών όρων με τη συνεργασία με την Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι που εκείνοι αποδέχτηκαν πρόθυμα. "Θέλουμε τέτοια παιδιά. Μας ενδιαφέρει να μάθουμε πώς σκέπτονται και κινούνται στο διαδίκτυο. Βοηθούν τις έρευνες για την επίτευξη ενός καλού σκοπού.
Είναι καλό να έχεις το μυαλό ενός πρώην "παράνομου" στη φαρέτρα σου. Το ίδιο άλλωστε δεν κάνουν μεγάλες ιδιωτικές επιχειρήσεις του εξωτερικού για να προστατευτούν, γιατί να μην το κάνουμε και εμείς;"δηλώνουν στην εφημερίδα αξιωματούχοι της Υπηρεσίας.
Όπως λένε οι αξιωματικοί, "ένας ευφυής νέος τέτοιου επιπέδου μπορεί να παραστράτησε, αλλά δεν έχει θέση στο περιβάλλον της φυλακής. Χρειάζεται άλλη ευκαιρία αξιοποίησης της γνώσης του σε ένα άλλο δημιουργικό περιβάλλον".

Πηγή

[Voyager-1]

Δύο Έλληνες crackers ενέταξε η Δίωξη Ηλεκτρονικού Εγκλήματος στη δύναμη της, σε μια προσπάθεια ενίσχυσης του «οπλοστασίου» της στη μάχη πάταξης του ηλεκτρονικού εγκλήματος.
Σύμφωνα με τον Ελεύθερο Τύπο, πρόκειται για δύο νεαρούς, 19 και 16 χρόνων, που είχαν κατηγορηθεί στο πρόσφατο παρελθόν σε ξεχωριστές υποθέσεις cracking. Σε βάρος τους είχαν επιβληθεί περιοριστικοί όροι απαγόρευσης εξόδου από τη χώρα και παρουσία τους δύο φορές τον μήνα στο αστυνομικό τμήμα της περιοχής τους.
Η ανακρίτρια τους πρότεινε την αντικατάσταση των περιοριστικών όρων με τη συνεργασία με την Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι που εκείνοι αποδέχτηκαν πρόθυμα. "Θέλουμε τέτοια παιδιά. Μας ενδιαφέρει να μάθουμε πώς σκέπτονται και κινούνται στο διαδίκτυο. Βοηθούν τις έρευνες για την επίτευξη ενός καλού σκοπού.
Είναι καλό να έχεις το μυαλό ενός πρώην "παράνομου" στη φαρέτρα σου. Το ίδιο άλλωστε δεν κάνουν μεγάλες ιδιωτικές επιχειρήσεις του εξωτερικού για να προστατευτούν, γιατί να μην το κάνουμε και εμείς;"δηλώνουν στην εφημερίδα αξιωματούχοι της Υπηρεσίας.
Όπως λένε οι αξιωματικοί, "ένας ευφυής νέος τέτοιου επιπέδου μπορεί να παραστράτησε, αλλά δεν έχει θέση στο περιβάλλον της φυλακής. Χρειάζεται άλλη ευκαιρία αξιοποίησης της γνώσης του σε ένα άλλο δημιουργικό περιβάλλον".

Πηγή

πολύ σωστή αντιμετώπιση

[adrian]

εγω το βρηκα παλι λιγο εκβιαστικο
"ή τρεχαματα, ή μας κανετε θεληματα" ειπε η ελας

καλυτερο παντως απο την οποια ποινικη διαδικασια