Facebook seit 2014 für Verbreitung von Remote-Access-Trojanern missbraucht

Die Kampagne hat ihren Ursprung in Libyen. Die Hintermänner verfolgen möglicherweise politische Ziele. Sie fälschen Facebook-Seiten und verleiten Nutzer in einzelnen Posts zu Klicks auf schädliche Links.

Forschern von Check Point zufolge wurde Facebook über einen Zeitraum von mehreren Jahren zur Verteilung von Remote-Access-Trojanern (RAT) benutzt. Unbemerkt von Facebook war die groß angelegte Kampagne mindestens seit 2014 aktiv. Die Täter sollen vor allem politische Ziele im Zusammenhang mit dem Bürgerkrieg in Libyen verfolgt haben.

Facebook (Bild: Facebook)Die Zahl der Opfer schätzt Check Point auf mehrere Zehntausend. Die Operation, bei der unter anderem die RATs Houdini, Remcos und SpyNote eingesetzt wurden, kompromittierte nicht nur Systeme in Libyen, sondern auch in Deutschland, Großbritannien, der Türkei, den USA und China.

Zuletzt war eine Facebook-Seite, die dem Anführer der selbst ernannten lybischen Nationalarmee Khalifa Haftar gehören soll, Ausgangspunkt der Kampagne. Sie wurde im April 2019 eingerichtet und zog seitdem mehr als 11.000 Follower an. Andere Seiten mit „Lybia My People“ hatten sogar mehr als 110.000 Abonnenten.

Über diese Seiten wurden politische Inhalte verbreitet. Einige Posts enthielten zudem Links, um Dateien herunterzuladen, die beispielsweise als durchgesickerte Geheimdienstunterlagen beworben wurden. Sie sollten belegen, dass Drittstaaten eigene Interessen in Libyen verfolgen. Einige URLs führten auch zu mobilen Anwendungen, beispielsweise für Bürger, die sich der lybischen Nationalarmee anschließen wollten.

Stattdessen führten die Links jedoch zu schädlichen Windows-Skripten oder speziell gestalteten APK-Installationsdateien für Android. Die eigentlichen Remote-Access-Trojaner wurden über Cloudspeicher wie Google Drive, Dropbox und Box gehostet.

Aufgrund bestimmter Rechtschreibfehler in den Posts geht Check Point davon aus, dass die Hintermänner Arabisch sprechen. Die Fehler – zum Teile fehlen einzelne Buchstaben – wurden den Forschern zufolge nicht von Online-Übersetzungsdiensten generiert. Die offenbar recht einmaligen Rechtschreibfehler halfen den Forschern zudem, weitere gefälschte Facebook-Seiten aufzudecken, die ebenfalls für die Kampagne benutzt wurden. In einigen Fällen sollen die Angreifer diese Seiten jedoch nicht selbst angelegt haben, sondern später die Kontrolle über sie übernommen haben.

Über die Infrastruktur der Kampagne identifizierte Check Point zudem einen Nutzer namens Dexter Ly als wahrscheinlichen Hintermann. Er soll sich früher bereits an Cyberangriffen auf die lybische Regierung beteiligt haben, unter anderem in Zusammenarbeit mit dem Hackerkollektiv Anonymous.

Facebook hat die fraglichen Seiten inzwischen gelöscht. Ein Sprecher des Unternehmens begründete dies mit Verstößen gegen die Richtlinien. Facebook investiere zudem in Technologien zur Erkennung schädlicher Aktivitäten. Trotzdem sollten Nutzer nicht auf verdächtige Links klicken oder gar nicht vertrauenswürdige Software herunterladen.

HIGHLIGHT

Die drei wichtigsten Faktoren bei der Modernisierung von SAN

In diesem E-Book erläutert NetApp die drei wichtigsten Faktoren bei der Modernisierung von SAN: Performance, vereinfachte Prozesse und eine zukunftssichere Architektur, die erweitert werden und dadurch auch künftige Anforderungen erfüllen kann. Jetzt herunterladen!

Themenseiten: Check Point, Facebook, Malware, Security, Sicherheit, Soziale Netze

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Facebook seit 2014 für Verbreitung von Remote-Access-Trojanern missbraucht

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *