Forschern von Check Point zufolge wurde Facebook über einen Zeitraum von mehreren Jahren zur Verteilung von Remote-Access-Trojanern (RAT) benutzt. Unbemerkt von Facebook war die groß angelegte Kampagne mindestens seit 2014 aktiv. Die Täter sollen vor allem politische Ziele im Zusammenhang mit dem Bürgerkrieg in Libyen verfolgt haben.
Zuletzt war eine Facebook-Seite, die dem Anführer der selbst ernannten lybischen Nationalarmee Khalifa Haftar gehören soll, Ausgangspunkt der Kampagne. Sie wurde im April 2019 eingerichtet und zog seitdem mehr als 11.000 Follower an. Andere Seiten mit „Lybia My People“ hatten sogar mehr als 110.000 Abonnenten.
Über diese Seiten wurden politische Inhalte verbreitet. Einige Posts enthielten zudem Links, um Dateien herunterzuladen, die beispielsweise als durchgesickerte Geheimdienstunterlagen beworben wurden. Sie sollten belegen, dass Drittstaaten eigene Interessen in Libyen verfolgen. Einige URLs führten auch zu mobilen Anwendungen, beispielsweise für Bürger, die sich der lybischen Nationalarmee anschließen wollten.
Stattdessen führten die Links jedoch zu schädlichen Windows-Skripten oder speziell gestalteten APK-Installationsdateien für Android. Die eigentlichen Remote-Access-Trojaner wurden über Cloudspeicher wie Google Drive, Dropbox und Box gehostet.
Aufgrund bestimmter Rechtschreibfehler in den Posts geht Check Point davon aus, dass die Hintermänner Arabisch sprechen. Die Fehler – zum Teile fehlen einzelne Buchstaben – wurden den Forschern zufolge nicht von Online-Übersetzungsdiensten generiert. Die offenbar recht einmaligen Rechtschreibfehler halfen den Forschern zudem, weitere gefälschte Facebook-Seiten aufzudecken, die ebenfalls für die Kampagne benutzt wurden. In einigen Fällen sollen die Angreifer diese Seiten jedoch nicht selbst angelegt haben, sondern später die Kontrolle über sie übernommen haben.
Über die Infrastruktur der Kampagne identifizierte Check Point zudem einen Nutzer namens Dexter Ly als wahrscheinlichen Hintermann. Er soll sich früher bereits an Cyberangriffen auf die lybische Regierung beteiligt haben, unter anderem in Zusammenarbeit mit dem Hackerkollektiv Anonymous.
Facebook hat die fraglichen Seiten inzwischen gelöscht. Ein Sprecher des Unternehmens begründete dies mit Verstößen gegen die Richtlinien. Facebook investiere zudem in Technologien zur Erkennung schädlicher Aktivitäten. Trotzdem sollten Nutzer nicht auf verdächtige Links klicken oder gar nicht vertrauenswürdige Software herunterladen.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…