ИБ-специалисты обнаружили и пресекли вредоносную кампанию в Facebook, построенную вокруг темы гражданской войны в Ливии. Организатор атак использовал актуальную новостную повестку, чтобы красть конфиденциальные материалы и заражать пользователей зловредным ПО.

Расследование началось, когда эксперты обнаружили в социальной сети поддельный профиль генерала Халифы Хафтара, одного из главных участников ливийских событий последних лет. С момента создания страницы в апреле 2019 года на нее подписались более 11 тыс. пользователей. Владелец профиля публиковал записи на политические темы, прикрепляя к ним ссылки, которые якобы ведут на секретные материалы спецслужб. На самом деле по этим адресам находились вредоносные программы для Windows и Android.

Исследователи назвали в их числе системы скрытного доступа Remcos, SpyNote и Houdini, исходники которых размещены в хранилищах Google Drive, Dropbox и Box. Злоумышленнику также удалось скомпрометировать несколько легитимных ресурсов, включая сайт одного из крупнейших ливийских мобильных операторов Libyana.

Характерные опечатки в тексте постов и адресе профиля позволили экспертам составить карту более чем 30 вредоносных страниц, используемых в обнаруженных атаках. Некоторые из них украдены у реальных пользователей, другие созданы специально для проведения атак.

По словам специалистов, фальшивых профилей оказалось множество, и все они находились под контролем одного человека, который запустил кампанию еще в 2014 году. За это время он собрал свыше 100 тыс. подписчиков. Злоумышленник не поддерживал какую-либо сторону ливийского противостояния, используя общественно-политическую повестку исключительно для привлечения потенциальных жертв.

В некоторых случаях он и вовсе отходил от основной темы, чтобы сыграть на других громких событиях. Так, в 2018 году один из зловредов продвигался как средство бесплатного просмотра матчей Чемпионата мира по футболу. В другой раз преступник распространял троян под видом VPN-клиента.

Поскольку мошенник маскировал вредоносные URL с помощью укороченных ссылок, эксперты смогли изучить статистику переходов и сделать вывод об успешности выбранной злоумышленником стратегии — большинство записей собирали тысячи кликов.

После изучения всех деталей кампании исследователи определили Facebook-профиль человека, который с высокой долей вероятности стоит за всеми этими атаками. Им оказался некий Декстер Ли (Dexter Ly) — житель Ливии, который регулярно размещал материалы по теме киберпреступности. В них эксперты обнаружили, помимо прочего, скриншоты онлайн-панелей, обеспечивающих управление вредоносными кампаниями.

Пользователь также выкладывал секретную информацию, до которой ему удалось добраться. Среди этих данных были документы ливийского правительства, электронная переписка и телефоны чиновников, фотокопии их паспортов. В итоге исследователи отследили деятельность Ли до участия в группировке OpSyria, подразделении Anonymous, которое объявило своей целью борьбу с сирийским правительством.

Эксперты передали материалы расследования представителям Facebook, которые заблокировали все уличенные в нежелательной деятельности страницы.

Ранее специалисты сообщили о всплеске политически мотивированных DDoS-атак в 2018 году. Доля таких инцидентов в общем спектре за полгода увеличилась почти в три раза, а их мощность выросла на 10 000%.

Категории: Аналитика, Вредоносные программы, Мошенничество