最近，一個(gè)使用Facebook頁(yè)面中的“有毒”鏈接分發(fā)惡意軟件的大型網(wǎng)絡(luò)犯罪活動(dòng)被曝光。來(lái)自Check Point研究團(tuán)隊(duì)的專(zhuān)家表示這項(xiàng)活動(dòng)至少自2014年以來(lái)一直存在。

?[[269617]]?

據(jù)悉，威脅行為者主要針對(duì)來(lái)自利比亞以及歐洲、美國(guó)、加拿大和中國(guó)的受害者。其中Houdini、Remcos和SpyNote等遠(yuǎn)程訪(fǎng)問(wèn)木馬(RAT)被廣泛用于入侵感染目標(biāo)設(shè)備。

事件概覽

威脅行為者利用利比亞的政治動(dòng)蕩來(lái)誘使受害者從移動(dòng)端或PC端的幾個(gè)Facebook頁(yè)面上發(fā)布的惡意鏈接下載惡意軟件。

具體來(lái)說(shuō)，其中一個(gè)偽裝成利比亞國(guó)民軍( Libyan National Army)首席指揮官Khalifa Haftar的Facebook頁(yè)面。該頁(yè)面創(chuàng)建于2019年4月初，此后已成功吸引了超過(guò)11000名粉絲。該頁(yè)面常發(fā)布或分享具有政治主題的帖子，包含用于下載利比亞情報(bào)部門(mén)泄密文件的URL(事實(shí)上當(dāng)然是虛假的)。

??

實(shí)際上，這個(gè)頁(yè)面包含惡意VBE、WSF(適用于Windows系統(tǒng))和APK(適用于Android設(shè)備)格式的文件，這些文件在下載時(shí)能夠進(jìn)一步部署惡意軟件。這些惡意軟件主要包括Houdini、Remcos和SpyNote等臭名昭著的RAT。

Check Point研究團(tuán)隊(duì)發(fā)現(xiàn)，自2014年以來(lái)，共有超過(guò)30個(gè)Facebook頁(yè)面分發(fā)了與這些惡意軟件相關(guān)的超過(guò)40個(gè)“有毒”鏈接，甚至某些網(wǎng)頁(yè)擁有超過(guò)10萬(wàn)名關(guān)注者。

??

粉絲數(shù)量最多的5個(gè)惡意Facebook頁(yè)面

此外，威脅行為者還攻擊了一些合法網(wǎng)站，包括俄羅斯網(wǎng)站、以色列網(wǎng)站和摩洛哥新聞網(wǎng)站。

攻擊目標(biāo)

Check Point專(zhuān)家認(rèn)為威脅行為者的主要目標(biāo)是利比亞。然而，還有來(lái)自歐洲、美國(guó)、加拿大和少量中國(guó)的受害者也被卷入其中。

“這些Facebook頁(yè)面涉及不同的主題，但共同點(diǎn)在于威脅行為者似乎都是圍繞著利比亞相關(guān)人物和事件：這些網(wǎng)頁(yè)都偽裝成利比亞某些部門(mén)領(lǐng)導(dǎo)人或支持該國(guó)某些政治運(yùn)動(dòng)、軍事行動(dòng)的知名人士，大部分都是來(lái)自的黎波里(首讀)或班加西(第二大城市)等城市的新聞頁(yè)面”，研究人員在他們的博客中寫(xiě)道。