Los actores malintencionados utilizan cada vez más las plataformas de redes sociales para difundir malware a víctimas confiadas.

En el último caso, Facebook eliminó más de 30 páginas de su plataforma después de que los analistas de seguridad de Check Point Research descubrieron que un pirata informático creó páginas falsas sobre la política libia y se hizo cargo de otras páginas relacionadas con Libia, luego cargó todas esas páginas con malware. Los investigadores dicen que el pirata informático aparentemente estaba intentando robar datos y realizar espionaje.

Esta campaña, denominada “Operación Trípoli”, se descubrió por primera vez a principios de este año, pero parece haber comenzado en 2014, según un blog de Check Point publicado esta semana.

Los investigadores de Check Point rastrearon la campaña hasta un actor que se hacía llamar “Dexter Ly”, que parece haber preferido utilizar troyanos de acceso remoto de código abierto, como Houdini, Remcos y SpyNote, para infectar a las víctimas que hicieron clic en los enlaces. Embebido en páginas de Facebook reales y falsas. Las páginas falsas, con nombres como “Libia oficial”, “Mi gente de Libia” y “Crímenes en Libia”, contenían una mezcla de hechos y ficción sobre la guerra civil en curso y la situación política en Libia, escritas en inglés y árabe. De acuerdo con Check Point.

Según Check Point, algunos de los enlaces falsos utilizados en estas páginas de Facebook pretendían contener documentos confidenciales del gobierno relacionados con la agitación en Libia, así como noticias de todo el país.

Aunque el objetivo final de esta campaña no está claro, Dexter Ly parece haber combinado el robo de datos de usuarios para obtener ganancias financieras con el espionaje del estado-nación, Lotem Finkelsteen, el gerente del grupo de inteligencia de amenazas de Check Point, informa a Information Security Media Group.

“El alcance de la campaña y la naturaleza de los ladrones de información disponibles en estos ataques nos enseñan que Dexter Ly buscaba credenciales para servicios en línea y documentos personales, el crimen electrónico clásico”, dice Finkelsteen. “Sin embargo, su fanfarronería sobre víctimas de alto perfil y su acceso a documentos de alto secreto del gobierno y la diplomacia de Libia nos enseñan que también estaba muy interesado en recopilar información sensible que pueda asociarse con campañas de espionaje tradicionales”.

Cuentas de Facebook falsas

La investigación de la Operación Trípoli comenzó a principios de este año después de que los investigadores de Check Point se encontraron con una página de Facebook falsa para Khalifa Haftar, comandante del Ejército Nacional de Libia. En ese momento, la cuenta, que fue creada en abril, tenía unos 11,000 seguidores.

El verdadero Haftar está profundamente involucrado en la guerra civil y en la política cotidiana del país, pero la falsa página de Facebook que encontraron los investigadores de Check Point contenía numerosas faltas de ortografía y errores gramaticales, así como enlaces a lo que se anunciaba como documentos gubernamentales secretos y otros. información, incluyendo aplicaciones falsas para unirse al ejército libio.

El análisis de Check Point de la campaña encontró archivos maliciosos de Visual Basic Editor o Windows Script File para máquinas Windows o Android Package para usuarios de Android, que descargarían los diversos troyanos que el atacante usó durante su campaña de cinco años.

Cuenta de Facebook falsa de Haftar (Imagen: Check Point Research)

En la mayoría de los casos, el actor almacenaría muestras maliciosas en archivos de almacenamiento en la nube como Google Drive, Dropbox, Box y otros para usar en las páginas falsas de Facebook. Sin embargo, en otros puntos, Dexter Ly se apoderó de sitios web legítimos y páginas de Facebook legítimas que tenían interés en los asuntos actuales de Libia y propagaron el malware desde allí, encontró Check Point.

Al examinar los diversos errores y el lenguaje utilizado en la página falsa de Haftar, los investigadores de Check Point encontraron las otras páginas de Facebook asociadas con la persona Dexter Ly. La investigación también mostró cómo el actor publicaría nuevos artículos y otros elementos para darle a cada página un aspecto nuevo y actualizado para que los usuarios regresen.

Estas páginas de Facebook tenían aproximadamente 100,000 usuarios en el transcurso de los últimos cinco años, según Check Point.

Después de realizar su investigación, Check Point se contactó con Facebook, que desde entonces ha retirado todas las páginas y está investigando, según comentó un portavoz de Facebook a ISMG.

“Estas páginas y cuentas violaron nuestras políticas y las eliminamos después de que Check Point nos las informara”, dice el portavoz de Facebook. “Continuamos invirtiendo en tecnología para mantener la actividad maliciosa fuera de Facebook, y alentamos a las personas a permanecer vigilantes sobre hacer clic en enlaces sospechosos o descargar software no confiable”.

Seguimiento de las víctimas

Aunque los principales objetivos de esta campaña fueron los libios, la investigación de Check Point mostró que los troyanos fueron descargados por los usuarios de Facebook en los Estados Unidos, Canadá y Europa, según el blog. Debido a que la persona detrás de la campaña usó los servicios de acortamiento de enlaces, es imposible estimar cuántos usuarios hicieron clic en los enlaces, y no todos los clics crearon una descarga maliciosa, dice Check Point.

Como parte de la investigación, Check Point también localizó el servidor de comando y control utilizado por Dexter Ly al rastrear algunas de las extensiones de archivo de Visual Basic Script. El servidor de comando y control, denominado “drpc.duckdns [.] Org” condujo a otro sitio web llamado “libya-10 [.] Com [.] Ly”.

Es a través de estas direcciones que los investigadores encontraron un sitio y una página de Facebook registrada por la persona Dexter Ly, que parece ser de Libia, según Check Point. Los investigadores también encontraron documentos y capturas de pantalla de las víctimas, dice el blog.

Malware social

Este episodio es solo el último para mostrar cómo los atacantes utilizan las redes sociales para ayudar a propagar el malware como parte de las campañas.

En mayo, por ejemplo, Facebook emitió una advertencia a los usuarios de su aplicación de mensajería WhatsApp para aplicar una actualización para corregir una falla que se estaba utilizando para instalar remotamente un software de vigilancia (consulte: Ataques explotan la falla de WhatsApp para instalar automáticamente spyware ).

Finkelsteen de Check Point dice que la tentación de usar los medios sociales como parte de una campaña maliciosa en curso es obvia: un esfuerzo mínimo puede dar grandes dividendos a los atacantes.

Sin embargo, señala que Facebook y otras plataformas sociales están mejorando para eliminar más rápidamente las páginas infectadas.

“Hay muchos intentos de usar las redes sociales para propagar malware; es solo un desarrollo natural del panorama de amenazas cibernéticas”, dice Finkelsteen.