Het botnet werd afgelopen december ontdekt en heeft de naam 'Lecpetex' meegekregen door het Microsoft Malware Protection Center, dat de aanvallen eveneens in beeld kreeg. Uiteindelijk zijn 250,000 Windows-pc's, met name in Griekenland, Polen, Noorwegen, India, Portugal en de Verenigde Staten geïnfecteerd, schrijft het Facebook Threat Infrastructure team. Nederland lijkt de dans te zijn ontsprongen. De malware werd vooral verspreid via spamberichten op Facebook.

Het neerhalen van Lecpetex was geen gemakkelijk klus. De makers hebben van december 2013 tot juni 2014 zo'n twintig spamcampagne's afgevuurd, op zowel het sociale netwerk als andere, niet nader genoemde diensten.

Sluwe bijlages

Sommige slachtoffers ontvingen privéberichten met een .zip-bijlage met een Java JAR file of een Visual Basic script. Deze bijlages veranderden sluw genoeg voortdurend van naam en type.

Zo konden de bestanden steeds verstuurd worden en zowel de gevaarlijke remote access tool (RAT) DarkComet als verschillende software voor het stelen van cryptovaluta Litecoin binnen halen. Deze malware updatet zichzelf vervolgens aan de lopende band om niet te worden opgemerkt door antivirussoftware.

Twee arrestaties

Toen beveiligingssoftware niet voldoende bleek, heeft Facebook de hulp ingeschakeld van hostingdiensten en opsporingsdiensten. In de brandhaard van Griekenland wist uiteindelijk de nationale cybercrime-politie op 3 juli twee verdachten te arresteren.

Zij hadden sporen achtergelaten op command-and-control servers die intussen door beveiligers van Facebook zelf in de gaten werden gehouden. Het sociale netwerk prijst de samenwerking binnen de industrie bij het neerhalen van Lecpetex.

De Griekse politie komt met het volgende kaartje om het botnet te illustreren als onderdeel van een presentatie: