По словам исследователиFacebook был использован Хакеры, как платформы Распространение троянских программ удаленного доступа (RAT) из 2014.
Расследование Check Point показало, что эта «масштабная» хакерская кампания связана с политическими проблемами в Ливии.
Ο целью кампании было распространение RATи особенно Houdini, Remcos и SpyNote. По словам исследователей, жертвы прибыли в основном из Ливии, Европы, США и Китай, Подсчитано, что пострадали десятки тысяч систем.
Хакер, стоявший за кампанией, использовал политические потрясения в Ливии в своих интересах. Хакер обработал страницу в Facebook, предположительно принадлежащую командующему Ливийской национальной армии Халифе Хафтару, и через нее распространил злонамеренный программное обеспечение.
Страница, созданная в апреле 2019, была очень убедительной, в результате она привлекла внимание поклонников 11.000 Haftar. сообщений, которые поднимались на страницу, обычно имели политическое содержание и содержали связи с сообщениями и материалами, предположительно просочившимися и связанными с ливийскими проблемами. Фактически, если кто-то открывал ссылки, они приводили к вредоносному контенту.
В результате открытия ссылок были обнаружены вредоносные файлы VBE и WSF для компьютеров Windows и APK для вредоносных программ для операционной системы. система Android. Выполнение вредоносных файлов привело, в свою очередь, к установке троянец.
Вредоносная программа размещалась в общедоступных сервисах, таких как Google Drive, Box и Dropbox.
После обнаружения этой страницы, многие другие страницы, группы и счета как внутри, так и вне Facebook, которые также использовались для распространения вредоносного программного обеспечения.
На Facebook было более 30 страниц, которые рассказывали о вредоносных ссылках 40 из 2014. Действительно, один из них повлиял на 100.000 пользователи.
Исследователи полагают, что злоумышленник, возможно, взял под контроль некоторые популярные, законные страницы и использовал их для своей выгоды.
Чтобы избежать подозрений, хакер может также публиковать законный контент о новостях Ливии. Между законным контентом будут ссылки, которые ведут к ложным приложениям и вредоносным сервисам.
Исследователи обнаружили злоумышленника с помощью командования сервер (C2), на котором размещались и распространялись вредоносные полезные нагрузки. Таким образом, их привели к «Dexter Ly», аккаунту в Facebook, который, по мнению группы, принадлежит хакеру.
Декстер Ли, похоже, участвовал в других атаках, направленных на кражу конфиденциальной информации о Ливии.
«Хотя злоумышленник не поддерживает политическую партию или какую-либо из противостоящих партий в Ливии, его действия, по-видимому, мотивированы политическими событиями», - заявили исследователи. «Это может означать, что злоумышленник нацелен на конкретных людей».
Исследователи сообщили Facebook о своих выводах, и платформа удалила все соответствующие страницы и аккаунты.
Представитель Facebook сказал:
«Эти страницы и учетные записи нарушали нашу политику, поэтому мы удалили их после сообщения исследователей Check Point. «Мы стараемся не допускать вредоносной активности в Facebook и призываем людей быть бдительными и не переходить по подозрительным ссылкам».
Greek
Chinese (Simplified)
English
Greek
Russian