02/07/19
Социальная сеть Facebook в течение нескольких лет использовалась в качестве площадки для распространения троянов для удаленного доступа, в том числе Houdini, Remcos и SpyNote. По данным специалистов из Check Point, кампания, получившая название «Operation Tripoli», активна с 2014 года, а количество пострадавших исчисляется десятками тысяч. В основном жертвами кампании стали пользователи из Ливии, Европы, США и Китая, переходившие по ссылкам, связанным с сообщениями о беспорядках в Ливии.
Для распространения вредоносов организаторы кампании использовали фальшивую страницу главнокомандующего национальной армией Ливии Халифы Хавтара, которая с момента создания в апреле 2019 года успела привлечь более 11 тыс. подписчиков. При переходе по размещенным на странице ссылкам на устройства пользователей загружались вредоносные файлы (VBE и WSF для ПК на Windows и APK для Android-гаджетов), устанавливающие на систему троян для удаленного доступа. Само вредоносное ПО размещалось на публичных серверах, принадлежащих в том числе Google.Диск, Box и Dropbox.
Помимо вышеуказанной, специалисты выявили в Facebook более 30 страниц, распространяющих примерно 40 вредоносных ссылок с 2014 года, причем число подписчиков одного из аккаунтов превышало 100 тыс. По мнению экспертов, стоящий за кампанией киберпреступник мог перехватить контроль над рядом самых популярных страниц.
Исследователям удалось отследить предполагаемого организатора кампании, им оказался некто под псевдонимом «Dexter Ly», ранее уже засветившийся в кибератаках, направленных на кражу конфиденциальной информации, связанной с Ливией.
Команда Check Point проинформировала Facebook о своих находках, и администрация соцсети уже удалила вредоносные страницы.
