Главные Новости
Владимир Зеленский Техно Кино Автоновости
Facebook удаляет учетные записи, используемые для распространения вредоносных программ с 2014 года
Автор: Allnewsua.live

Facebook закрыл более 30 учетных записей, которые, как было установлено, распространяют трояны удаленного доступа (RAT) по вредоносным ссылкам, которые, как утверждается, информируют пользователей о продолжающемся политическом кризисе в Ливии.

Операция "Триполи" широкомасштабная кампания Обнаружено поставщиком кибербезопасности Check Point Research â ???? Установлено, что эти страницы были точкой распространения вредоносного ПО, по крайней мере, с 2014 года, потенциально заражая тысячи жертв.

По словам исследователей, счета â ???? некоторые с более чем 100 000 подписчиками заманивать ничего не подозревающих жертв в «клики по ссылкам и скачивание файлов, которые должны сообщать о последних авиаударах в стране или захвате террористов, но вместо этого содержат вредоносное ПО».

Этот инцидент служит напоминанием о том, как можно использовать платформы социальных сетей для запуска атак вредоносных программ, даже если компании вкладывают средства в различные автоматизированные и ручные системы, чтобы предотвратить злонамеренную деятельность.

Исследователи заявили, что начали расследование этой кампании после того, как обнаружили страницу в Facebook, на которой изображен командир Ливийской национальной армии Халифа Хафтар, который также является видным ливийско-американским политическим деятелем в стране.



Страница в Фейсбуке создан в апреле 2019 года с более чем 11 000 подписчиков делятся постами со ссылками, замаскированными под утечки из разведывательных подразделений Ливии.

Эти утечки якобы содержали «документы, разоблачающие такие страны, как Катар или Турция, сговаривающиеся против Ливии, или фотографии захваченного пилота, который пытался бомбить столицу Триполи». Некоторые URL-адреса даже призывали пользователей загружать мобильные приложения, предназначенные для граждан, заинтересованных в присоединении к ливийским вооруженным силам.

Но на самом деле эти URL пытались загрузить вредоносные скрипты и мошеннические приложения для Android, которые представляли собой разновидности инструментов удаленного администрирования с открытым исходным кодом, таких как Houdini, Remcos и SpyNote, которые предоставляют злоумышленнику удаленный доступ к устройствам для проведения различных атак.

В следующей попытке замаскировать свое истинное намерение URL-адреса были скрыты с использованием сервисов сокращения URL-адресов, таких как bit.ly, goo.gl и TinyURL. Во-вторых, было обнаружено, что сами вредоносные скрипты хранятся в сервисах размещения файлов, таких как Google Drive, Dropbox и Box.

Но они также обнаружили случаи, когда злоумышленнику удавалось размещать вредоносные файлы на законных веб-сайтах, включая Libyana, одного из крупнейших операторов мобильной связи в Ливии.

«Несмотря на то, что набор инструментов, которые использовал злоумышленник, не является ни передовым, ни впечатляющим, использование специально подобранного контента, легитимных веб-сайтов и высокоактивных страниц со многими подписчиками значительно облегчило потенциальную возможность заражения тысяч жертв», -? ??? Исследователи Check Point отметили.



В сообщениях на Фейсбуке было много слов с ошибками, пропущенных букв и повторных опечаток на арабском языке. Правописные ошибки были жизненно важным ключом в подтверждении того, что контент был создан говорящим на арабском языке, поскольку они вряд ли будут введены онлайн-движками перевода.

Поиск некоторых комбинаций неправильной формулировки привел исследователей к сети страниц Facebook, которые содержали одни и те же уникальные ошибки, доказывая, что все они управлялись одним и тем же действующим лицом.

Файлы вредоносных сценариев, которые использовались исходной страницей Facebook, в конечном итоге были отслежены на том же сервере управления и контроля (C & C) с именем домена: drpc.duckdns [.] Org.

Сервер C & C обычно представляет собой компьютер, управляемый киберпреступником, который используется для подачи команд системам, скомпрометированным вредоносным ПО, и получения украденных данных из целевой сети.

Они также установили, что домен преобразован в IP-адрес, связанный с другим веб-сайтом: libya-10 [.] Com [.] Ly, который по совпадению также использовался в качестве сервера C & C для распространения вредоносных файлов еще в 2017 году.

В ходе последующего поиска в домене WHOIS исследователи установили, что кто-то под псевдонимом «Декстер Ли» зарегистрировал оба домена, используя адрес электронной почты drpc1070@gmail.com.

Псевдоним привел исследователей к еще одной учетной записи Facebook, которая, как было обнаружено, повторяла те же опечатки, обнаруженные на предыдущих страницах. Более тщательное изучение привычек аккаунта в Facebook также показало, что злоумышленник смог получить конфиденциальную информацию, принадлежащую правительственным чиновникам.

Использование сервисов сокращения URL-адресов для создания ссылок позволило исследователям Check Point определить, сколько раз была нажата данная ссылка и из какого географического местоположения.

Анализ показал, что страницы Facebook были наиболее распространенным источником ссылок. Большинство кликов поступило из Ливии. Но было также подтверждено, что кампания достигла Европы, США и Канады. Здесь стоит отметить, что клик не обязательно означает успешное заражение.

С тех пор Facebook закрыл страницы и учетные записи, которые распространяли вредоносное ПО в рамках кампании, после того, как исследователи Check Point в частном порядке сообщили о своих выводах.

Но, учитывая продолжающийся в Ливии конфликт между избранным правительством, поддерживаемым Организацией Объединенных Наций, и Ливийской национальной армией во главе с Хафтаром, решение злоумышленника использовать кризис, чтобы заставить пользователей щелкать вредоносными URL-адресами, вызывает серьезные опасения в отношении безопасности. Это также подчеркивает, как атаки социальной инженерии становятся все более изощренными.

«Несмотря на то, что злоумышленник не поддерживает политическую партию или любую из конфликтующих сторон в Ливии, их действия, похоже, мотивированы политическими событиями». Исследователи пришли к выводу.

Цепочка событий указывает на то, что актер угрозы использовал охват Facebook и что они знали о том, что их цели могли щелкнуть или загрузить, что позволило им распространять файлы, используя простые, но эффективные методы.

    Читать дальше:

    

        НЕДОРОГО: Управляйте своей температурой тела с 62% скидкой на настольный очиститель Dyson Hot + Cold


Читать также:

Рыба Капля
07-05-2018 11:12 1027