Un equipo de especialistas en seguridad en páginas web detectó y expuso una campaña que, aprovechándose de noticias relacionadas con Libia, comenzaron a desplegar decenas de sitios y perfiles de Facebook falsos para distribuir malware durante los últimos cinco años.
Los enlaces utilizados por los atacantes redirigían a las víctimas a sitios cargados con malware para equipos Android y Windows; uno de los principales vectores de ataque era el uso de un falso perfil de Facebook supuestamente operado por el mariscal de campo Khalifa Haftar, comandante del Ejército Nacional de Libia.
Este perfil falso fue creado a principios del mes de abril y contaba con más de 11 mil seguidores, publicando contenido relacionado con campañas militares y teorías de conspiración que acusaban a países como Turquía de espionaje contra Libia. Entre otras cosas, las publicaciones de este perfil también ofrecían una supuesta app que la gente de Libia podría emplear para encontrar información de ingreso al ejército del país.
Expertos en seguridad en páginas web de la firma de seguridad Check Point infomaron que la mayoría de estos enlaces redirigían al usuario a sitios y aplicaciones identificadas anteriormente como contenido malicioso. Los atacantes infectaban al usuario con diversas herramientas de administración remota como Houdina, Remcos y SpyNote; la mayoría de estas se almacenan en servicios de hosting como Google Drive y Dropbox.
Las publicaciones del falso militar estaban plagadas de errores de redacción y faltas de ortografía. Basándose en el tipo de errores y la forma de redacción, los expertos están convencidos de que los perpetradores de esta campaña son hablantes de árabe.
Después, los expertos en seguridad en páginas web comenzaron a buscar otras páginas con errores de redacción iguales o similares a los encontrados en el perfil falso de Facebook, descubriendo al menos 30 páginas más, todas activas desde 2014. De este conjunto, las cinco páginas con más seguidores contaban, en total, con al menos 400 mil seguidores.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS), esta cuenta de Facebook también filtraba información confidencial, posiblemente robada de las víctimas de esta campaña. Los datos incluían documentos pertenecientes al gobierno de Libia, correos electrónicos, números de teléfono de funcionarios y fotos de sus pasaportes. En días recientes Facebook publicó un comunicado mencionando que las páginas ya habían sido eliminadas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
