Home - Internet - Facebook remove contas usadas para infectar usuários com malware

Facebook remove contas usadas para infectar usuários com malware

Uma campanha de malware generalizada, em andamento desde 2014, estava usando contas e postagens do Facebook para espalhar malware por meio de links de URL.

O Facebook fechou mais de 30 contas espalhando malware por meio de links maliciosos que supostamente são notícias sobre a atual situação política na Líbia. A campanha, em andamento desde 2014, infectou dezenas de milhares de vítimas com trojans de acesso remoto (RATs), de acordo com pesquisadores.

A campanha, apelidada de “Operação Trípoli”, aproveitou a situação política na Líbia para atrair as vítimas para clicar em links que alegavam ser notícias relacionadas à Líbia.

Os links supostamente eram informações sobre notícias como o último ataque aéreo no país ou a captura de terroristas, mas, em vez disso, continham malware. É importante notar que o próprio Facebook não foi violado – no entanto, o hack aponta para como as plataformas de mídia social podem ser abusadas para lançar ataques de malware, disseram os pesquisadores.

“Embora o conjunto de ferramentas que o atacante utilizou não seja avançado nem impressionante, o uso de conteúdo personalizado, sites legítimos e páginas altamente ativas com muitos seguidores tornou muito mais fácil infectar milhares de vítimas,” disseram os pesquisadores da Check Point em uma análise de segunda-feira da campanha . “O material sensível compartilhado no perfil ‘Dexter Ly’ implica que o atacante conseguiu infectar funcionários de alto nível também.”

A campanha infectou com sucesso dezenas de milhares de vítimas, principalmente da Líbia, mas também na Europa, Estados Unidos e Canadá, disseram pesquisadores. Desde então, o Facebook encerrou as páginas e contas que estavam distribuindo o malware como parte da campanha.

A campanha

Pesquisadores disseram que viram a campanha pela primeira vez depois de se depararem com uma página do Facebook representando o comandante do Exército Nacional da Líbia, Khalifa Haftar , que é uma figura proeminente na arena política da Líbia. A página, criada em abril de 2019, tem mais de 11.000 seguidores e compartilha post com temas políticos.

Os pesquisadores disseram que as amostras maliciosas geralmente são armazenadas em serviços de hospedagem de arquivos, como o Google Drive, Dropbox, Box e muito mais. Embora a maioria dos arquivos maliciosos tenha sido armazenada em serviços como o Google Drive, às vezes o invasor compromete os sites legítimos e hospeda arquivos maliciosos neles, incluindo um site russo, um site israelense e um site de notícias marroquino.

Os pesquisadores também notaram que havia sinais de alerta nas páginas do Facebook que faziam parte da campanha: por exemplo, o invasor fazia uma série de erros gramaticais e ortográficos em posts.

O atacante

Pesquisadores rastrearam o servidor de comando e controle (C2) por trás dos aplicativos e scripts VBE (extensão de arquivo codificado Visual Basic Script) compartilhada pela página do Facebook que encontraram. O domínio do servidor era drpc.duckdns [.] Org e resolvido para um endereço IP vinculado a outro site: libya-10 [.] Com [.] Ly. A partir daí, os pesquisadores descobriram que alguém sob o pseudônimo “Dexter Ly” estava registrado em ambos os domínios. Eles avaliaram “com alta confiança” que este era o principal ator de ameaça por trás da campanha.

“Embora o atacante não endosse um partido político ou qualquer um dos lados conflitantes na Líbia, suas ações parecem ser motivadas por eventos políticos”, disseram pesquisadores. “Isso é justaposto com o constante alvo das vítimas líbias, mas pode significar que o atacante está atrás de certos indivíduos dentro da multidão maior.”

Conteúdo malicioso no Facebook

Embora as contas vinculadas à campanha tenham sido removidas, os pesquisadores disseram que o incidente mostra como mais atores ruins estão se voltando para as mídias sociais para espalhar malware.


Sobre Suporte Center

Suporte Center é um autor do site centerdicas.com especializado em publicações sobre tecnologia, dicas e reviews