4000-110-253
Facebook是非多(duō),犯罪分子利用其分發RAT. 2019-07-10
最近,一個(gè)使用Facebook頁面中的“有(yǒu)毒”鏈接分發惡意軟件的大(dà)型網絡犯罪活動被曝光。來(lái)自Check Point研究團隊的專家(jiā)表示這項活動至少(shǎo)自2014年以來(lái)一直存在。
據悉,威脅行(xíng)為(wèi)者主要針對來(lái)自利比亞以及歐洲、美國、加拿(ná)大(dà)和(hé)中國的受害者。其中Houdini、Remcos和(hé)SpyNote等遠程訪問木馬(RAT)被廣泛用于入侵感染目标設備。
事件概覽
威脅行(xíng)為(wèi)者利用利比亞的政治動蕩來(lái)誘使受害者從移動端或PC端的幾個(gè)Facebook頁面上(shàng)發布的惡意鏈接下載惡意軟件。
具體(tǐ)來(lái)說,其中一個(gè)僞裝成利比亞國民軍( Libyan National Army)首席指揮官Khalifa Haftar的Facebook頁面。該頁面創建于2019年4月初,此後已成功吸引了超過11000名粉絲。該頁面常發布或分享具有(yǒu)政治主題的帖子,包含用于下載利比亞情報部門(mén)洩密文件的URL(事實上(shàng)當然是虛假的)。
實際上(shàng),這個(gè)頁面包含惡意VBE、WSF(适用于Windows系統)和(hé)APK(适用于Android設備)格式的文件,這些(xiē)文件在下載時(shí)能夠進一步部署惡意軟件。這些(xiē)惡意軟件主要包括Houdini、Remcos和(hé)SpyNote等臭名昭著的RAT。
Check Point研究團隊發現,自2014年以來(lái),共有(yǒu)超過30個(gè)Facebook頁面分發了與這些(xiē)惡意軟件相關的超過40個(gè)“有(yǒu)毒”鏈接,甚至某些(xiē)網頁擁有(yǒu)超過10萬名關注者。
粉絲數(shù)量最多(duō)的5個(gè)惡意Facebook頁面
此外,威脅行(xíng)為(wèi)者還(hái)攻擊了一些(xiē)合法網站(zhàn),包括俄羅斯網站(zhàn)、以色列網站(zhàn)和(hé)摩洛哥(gē)新聞網站(zhàn)。
攻擊目标
Check Point專家(jiā)認為(wèi)威脅行(xíng)為(wèi)者的主要目标是利比亞。然而,還(hái)有(yǒu)來(lái)自歐洲、美國、加拿(ná)大(dà)和(hé)少(shǎo)量中國的受害者也被卷入其中。
“這些(xiē)Facebook頁面涉及不同的主題,但(dàn)共同點在于威脅行(xíng)為(wèi)者似乎都是圍繞着利比亞相關人(rén)物和(hé)事件:這些(xiē)網頁都僞裝成利比亞某些(xiē)部門(mén)領導人(rén)或支持該國某些(xiē)政治運動、軍事行(xíng)動的知名人(rén)士,大(dà)部分都是來(lái)自的黎波裏(首讀)或班加西(第二大(dà)城市)等城市的新聞頁面”,研究人(rén)員在他們的博客中寫道(dào)。
