O Facebook fechou mais de 30 páginas depois de descobrir que elas espalhavam malware a partir de links falsos sobre a crise política na Líbia. A campanha foi descoberta pela fornecedora de segurança cibernética CheckPoint, que também constatou que essas páginas têm sido um ponto de distribuição de vírus pelo menos desde 2014 e potencialmente infectaram milhares de vítimas.
Segundo os pesquisadores, as contas — algumas com mais de 100 mil seguidores — atraíram vítimas inocentes para “clicar em links e baixar arquivos que, supostamente, informam sobre o último ataque aéreo no país ou a captura de terroristas, mas que contêm malwares”.
Como funciona o ataque?
As páginas publicam notícias falsas sobre a crise política na Líbia para atrair cliques de usuários. Na verdade, porém, a URL tenta baixar scripts maliciosos e aplicativos Android infectados, que funcionam como ferramentas de administração remota de código aberto (como Houdini, Remcos e SpyNote) e concedem acesso a dispositivos para permitir ataques.
O golpe era difícil de perceber porque os atacantes usavam encurtadores de URL, como o bit.ly ou o goo.gl, e os próprios scripts maliciosos foram encontrados armazenados em serviços de hospedagem de arquivos, como o Google Drive e o Dropbox. Havia, ainda, malwares escondidos em sites legítimos, como o da Libyana, uma das maiores operadoras do país.
“Embora o conjunto de ferramentas utilizado pelo invasor não seja avançado nem impressionante, o uso de conteúdo personalizado, sites legítimos e páginas com muitos seguidores tornou muito mais fácil infectar milhares de vítimas”, observam os pesquisadores da CheckPoint.
Assume-se, também, que as invasões foram premeditadas por cidadãos árabes, já que muitas das publicações continham palavras incorretas, falta de letras e erros repetidos. Algo que um tradutor automático provavelmente não erraria. Uma pesquisa de algumas combinações da frases incorretas levou os pesquisadores a uma rede de páginas do Facebook que tinham os mesmos erros, o que prova que todos eles eram operados pelo mesmo ator de ameaça.
Como foi a investigação?
Os pesquisadores informaram que começaram a suspeitar da campanha depois de identificar uma página do Facebook que representa o comandante do Exército Nacional da Líbia, Khalifa Haftar, uma importante figura política no país. A página, criada em 2019, tinha mais de 11 mil seguidores e compartilhou links de supostos vazamentos de informações internas das unidades de inteligência do país.
Supostamente, seriam “documentos que expõem conspirações de países como o Qatar ou a Turquia contra a Líbia ou fotos de um piloto capturado enquanto tentava bombardear a capital do país, Trípoli”. Algumas URLs até pediam que os usuários fizessem o download de aplicativos móveis destinados a cidadãos interessado em se juntar às forças armadas da Líbia.
Quem é o atacante?
Os arquivos foram rastreados para o mesmo servidor de comando e controle (C&C) com o nome de domínio drpc.duckdns.org. Um C&C normalmente manda comandos para sistemas com malware e recebe os dados roubados.
Eles também estabeleceram que o domínio estava conectado a um endereço IP associado a outro site: libya-10.com.ly. Este, “coincidentemente”, também era usado como servidor C&C para distribuir arquivos maliciosos em 2017. Depois de uma pesquisa, foi descoberto que o usuário Dexter.ly foi responsável por registrar ambos os domínios com o endereço de e-mail: drpc1070@gmail.com.
O pseudônimo levou a outra conta no Facebook, que também publicava links infectados e reproduzia os mesmos erros ortográficos das outras publicações. Uma inspeção mais detalhada dos hábitos da conta no Facebook também revelou que o invasor conseguiu colocar as mãos em informações confidenciais pertencentes a funcionários do governo.
Qual foi o impacto da campanha?
Por utilizar encurtadores de URL, foi possível rastrear quantas vezes e onde os links foram acessados. Os resultados mostraram que o ataque chegou até a Europa, o Canadá e os EUA. Vale lembrar que isso não significa que um usuário que clicou no link malicioso foi, necessariamente, hackeado.
Depois que os pesquisadores da CheckPoint divulgaram suas descobertas, o Facebook fechou as páginas e as contas que distribuíam o malware como parte da campanha.
Qual o alerta que fica?
A revelação de uma campanha bem programada e que se baseia no interesse das pessoas pelo conflito político na Líbia, mostra que, cada vez mais, os hackers utilizam engenharia social para atrair vítimas. O Brasil é considerado o país que mais sofre com ataques de phishing — hackers oferecem produtos ou informações irrecusáveis e levam o usuário a clicar em links maliciosos, que podem, potencialmente, permitir o acesso a dados pessoais. Uma ação bem parecida com a campanha sobre a Líbia.
Por essa razão, é sempre importante ficar atento às URLs e ao que é consumido nas redes sociais. Afinal, as plataformas de mídia social podem ser abusadas para lançar ataques de malware.
Fonte: CheckPoint