Головні Новини
Зеленський Автоновини Техно Кіно
Facebook видаляє облікові записи, які використовувалися для розповсюдження шкідливих програм з 2014 року
Автор: Allnewsua.live

Facebook вимкнув більше 30 облікових записів, які, як виявилося, розповсюджують трояни віддаленого доступу (RAT) через шкідливі посилання, які вимагали інформувати користувачів про поточну політичну кризу в Лівії.

Названа операція "Триполі". широкомасштабну кампанію в ?? розкрита постачальником кібербезпеки Check Point Research a ???? виявили, що ці сторінки є точкою розповсюдження шкідливих програм, принаймні з 2014 року, що потенційно заражає тисячі жертв.

На думку дослідників, рахунки ?? деякі з більш ніж 100 000 послідовників в ?? заманювали нічого не підозрюють жертв на "натискання" посилань і завантаження файлів, які повинні повідомляти про останній авіаудар в країні, або захоплення терористів, а замість цього містять шкідливе програмне забезпечення.

Інцидент служить нагадуванням про те, що платформи соціальних медіа можуть бути зловживані для запуску шкідливих атак, навіть якщо компанії інвестують у різноманітні автоматизовані та ручні системи, щоб утримати шкідливі дії.

Дослідники заявили, що почали розслідування цієї кампанії після того, як вони виявили сторінку у Facebook, яка представляла себе командувачем Національної армії Лівії Халіфою Хафтар, яка також є видатним лівійсько-американським політичним діячем у країні.



Сторінка Facebook? створено в квітні 2019 року з більш ніж 11000 послідовників в ?? спільні повідомлення зі зв'язками, замасковані як витоки з розвідувальних підрозділів Лівії.

Ці витоки мали на увазі, що вони містять документи, що викривають такі країни, як Катар або Туреччина, що складають змову проти Лівії, або фотографії захопленого пілота, який намагався бомбити столицю Тріполі. завантажити мобільні додатки, призначені для громадян, зацікавлених у приєднанні до лівійських збройних сил.

Але насправді ці URL-адреси спробували завантажити шкідливі скрипти та програми-андроїди Android, які були варіантами інструментів віддаленого адміністрування з відкритим кодом, такими як Houdini, Remcos та SpyNote, які надають зловмисникові доступ до пристроїв для відтворення різних атак.

У подальшій спробі замаскувати свої справжні наміри, URL-адреси були приховані за допомогою служб скорочення URL-адрес, таких як bit.ly, goo.gl і TinyURL. По-друге, виявлено, що самі шкідливі сценарії зберігаються у службах хостингу файлів, таких як Google Drive, Dropbox та Box.

Але вони також виявили випадки, коли зловмисникам вдалося розмістити шкідливі файли на законних веб-сайтах, включаючи Libyana, одного з найбільших мобільних операторів у Лівії.

Хоча набір інструментів, які використовував зловмисник, не просунутий і не вражаючий сам по собі, використання відповідного контенту, легітимних веб-сайтів і високоактивних сторінок з багатьма послідовниками полегшило потенційно заразити тисячі жертв. ??? Дослідники Check Point відзначили.



Повідомлення в Facebook виявилися пронизаними багатьма неправильно написаними словами, відсутніми літерами і повторними друкарськими виправленнями на арабській мові. Орфографічні помилки були життєво важливим підставою для підтвердження того, що контент був створений арабським спікером, оскільки вони навряд чи були впроваджені двигунами онлайн-перекладу.

Пошук деяких поєднань неправильного формулювання зумовив дослідників до мережі сторінок Facebook, які містили ті ж самі помилки, що доводили, що всі вони керуються одним і тим же загрозою.

Файли шкідливих скриптів, які спільно використовуються на початковій сторінці Facebook, в кінцевому підсумку були простежені до одного сервера команд і керування (C&C) з доменним ім'ям: drpc.duckdns [.] Org.

Сервер C&C, як правило, є комп'ютером, керованим кіберзлочинцем, який використовується для видачі команд системам, які скомпрометовані шкідливим програмним забезпеченням, і отримують вкрадені дані з цільової мережі.

Вони також встановили, що домен вирішений на IP-адресу, пов'язану з іншим веб-сайтом: libya-10 [.] Com [.] Ly, який випадково також використовувався як сервер C&C для розповсюдження шкідливих файлів у 2017 році.

За допомогою подальшого пошуку домену WHOIS дослідники встановили, що хтось під псевдонімом «Декстер Лі». зареєстрував обидва домени, використовуючи адресу електронної пошти drpc1070@gmail.com.

Псевдонім привів дослідників до ще одного облікового запису Facebook, який, як виявилося, повторював ті самі помилки, які були виявлені на попередніх сторінках. Більш детальний огляд звичок Facebook також показав, що зловмисник міг отримати свої руки від конфіденційної інформації, що належить державним чиновникам.

Використання послуг скорочення URL для створення посилань дозволило дослідникам Check Point визначити, скільки разів було натиснуто дане посилання та з якого географічного розташування.

Аналіз показав, що найпоширенішим джерелом посилань є сторінки на Facebook. Більшість кліків прийшли з Лівії. Але було також підтверджено, що кампанія досягла аж до Європи, США і Канади. Тут варто відзначити, що клік не обов'язково означає успішну інфекцію.

Після цього Facebook вимкнув сторінки та облікові записи, які розповсюджували шкідливе програмне забезпечення в рамках кампанії після того, як дослідники Check Point повідомили про свої висновки.

Але враховуючи триваючий конфлікт у Лівії між обраним урядом, підтриманим ООН і лівійською національною армією під керівництвом Хафтара, рішення зловмисника використати кризу, щоб заманити користувачів на клацання шкідливих URL-адрес, викликає серйозні проблеми безпеки. Це також підкреслює, як атаки соціальної інженерії набувають складності.

Хоча зловмисник не підтримує політичну партію або будь-яку з конфліктуючих сторін у Лівії, їхні дії, здається, мотивовані політичними подіями. Дослідники прийшли до висновку.

Мережа подій вказує на те, що загроза актора залучила Facebook, і що вони знали, що їхні цілі, швидше за все, будуть натискати або завантажуватися, тим самим даючи їм змогу поширювати файли, використовуючи прості, але ефективні методи.

    Читати далі:

    

        ДЕШЕВЕ: Командуйте температуру тіла 62% від очищувача Dyson Hot + Cold


Читати також: