Los investigadores han expuesto una red de cuentas de Facebook que utilizaba noticias y temas relacionados con Libia para enviar malware a decenas de miles de personas durante un período de cinco años.
Los enlaces al malware basado en Windows y Android llamaron la atención de los investigadores por primera vez cuando los encontraron incluidos en publicaciones de Facebook haciéndose pasar por el mariscal de campo Khalifa Haftar, comandante del Ejército Marketingdecontenido de Libia. La cuenta falsa, que se creó a principios de abril y tenía más de 11.000 seguidores, pretendía publicar documentos que mostraban a países como Qatar y Turquía conspirando contra Libia y fotos de un piloto capturado que intentaba bombardear la ciudad capital de Trípoli. Otras publicaciones prometían ofrecer aplicaciones móviles que los ciudadanos libios podrían usar para unirse a las fuerzas armadas Marketingdecontenido.
Según una publicación publicada el lunes por la empresa de seguridad Check Point, la mayoría de los enlaces se dirigieron a VBScripts, Windows Script Files y aplicaciones de Android que se sabe que son maliciosas. Los productos incluían variantes de herramientas de administración remota de código abierto con nombres que incluían Houdina, Remcos y SpyNote. Las herramientas se almacenaron principalmente en servicios de alojamiento de archivos como Google Drive, Dropbox y Box.
Las publicaciones del falso Haftar estaban plagadas de errores tipográficos, faltas de ortografía y errores gramaticales. Los errores ortográficos en particular dieron a los investigadores de Check Point un alto grado de confianza en que el contenido fue generado por un hablante de árabe, ya que era poco probable que los motores de traducción que hubieran convertido el texto de otro idioma introdujeran los errores.
La punta del iceberg
Al buscar otras fuentes que cometieron los mismos errores, los investigadores encontraron más de 30 páginas de Facebook, algunas activas desde 2023, que se habían utilizado para difundir los mismos enlaces maliciosos. Las cinco páginas más populares fueron seguidas colectivamente por más de 422 000 cuentas de Facebook, como se muestra en el siguiente gráfico:
punto de control
El atacante usó servicios de acortamiento de URL para generar la mayoría de los enlaces. Eso permitió a los investigadores de Check Point determinar cuántas veces se había hecho clic en un enlace determinado y desde qué región geográfica. La mayoría de los enlaces tenían miles de clics, principalmente desde el momento en que se crearon y compartieron los enlaces. Los datos también muestran que las páginas de Facebook fueron la fuente más común de enlaces, lo que indica que la red social fue el vector más utilizado en la campaña. Mientras tanto, la mayoría de los clics provenían de Libia, aunque algunas máquinas afectadas también estaban ubicadas en Europa, EE. UU. y Canadá.
Las siguientes cifras muestran un enlace que obtiene alrededor de 6500 clics, de los cuales 5120 provienen de Libia:
punto de control
Prácticamente todo el malware introducido durante la campaña de cinco años se conectó a servidores de comando y control ubicados en drpc.duckdns[.]org y libia-10[.]com[.]mentira Una búsqueda de Whois mostró que este último dominio estaba registrado a nombre de alguien que usaba la dirección de correo electrónico drpc1070@gmail.com. Esa misma dirección de correo electrónico se utilizó para registrar otros dominios, incluidos dexter-ly.space y dexter-ly.com.
El nombre “Dexter Ly” llevó a los investigadores a otra cuenta de Facebook. La nueva cuenta repitió los mismos errores tipográficos encontrados en las páginas anteriores, lo que llevó a los investigadores a evaluar con gran confianza que todas las páginas son obra de la misma persona o grupo. La cuenta recién descubierta también compartió abiertamente detalles de la campaña maliciosa, incluidas capturas de pantalla de los paneles donde se administraron los dispositivos infectados:
punto de control
La cuenta de Facebook también publicó información confidencial que parece provenir de algunos de los objetivos infectados. Los datos incluían documentos secretos pertenecientes al gobierno de Libia, correos electrónicos, números de teléfono pertenecientes a funcionarios y fotografías de los pasaportes de los funcionarios:
punto de control
La publicación del lunes decía que Facebook eliminó las páginas y las cuentas después de que los investigadores de Check Point informaran en privado sobre la campaña.
“Estas páginas y cuentas violaron nuestras políticas y las eliminamos después de que Check Point nos las informara”, dijeron funcionarios de Facebook en un comunicado. permanezca atento a hacer clic en enlaces sospechosos o descargar software no confiable”.
El comunicado no explicó por qué la fuerte inversión de Facebook no fue suficiente para que la empresa detectara la campaña por sí sola.
Si bien la campaña se vio interrumpida, su descubrimiento ayuda a subrayar cómo incluso las operaciones con recursos modestos pueden ser efectivas.
“Aunque el conjunto de herramientas que utilizó el atacante no es avanzado ni impresionante en sí mismo, el uso de contenido personalizado, sitios web legítimos y páginas muy activas con muchos seguidores hizo mucho más fácil infectar potencialmente a miles de víctimas”, escribieron los investigadores. “El material sensible compartido en el perfil de ‘Dexter Ly’ implica que el atacante también logró infectar a funcionarios de alto perfil”.