Cybercriminelen gebruiken gespannen politieke situatie om bepaalde groepen te infecteren met malware

Gepubliceerd op 1 juli 2019 om 22:04
Cybercriminelen gebruiken gespannen politieke situatie om bepaalde groepen te infecteren met malware

Security bedrijf 'Check Point Research' kwam onlangs een grootschalige campagne tegen die jarenlang Facebook pagina's gebruikte om malware te verspreiden.

Het lijkt erop dat er gespannen politieke situatie gebruikt wordt om bepaalde groepen te infecteren met malware.

Zo ontdekte 'Check Point Research' dat in Libië, geïnteresseerden in "latest airstrike in the country" nuttig was voor sommigen slachtoffers te lokken naar links en bestanden die zouden moeten informeren over de nieuwste luchtaanval in het land, of het vangen van terroristen, maar in plaats daarvan malware bevatten.

Het onderzoek begon toen het security bedrijf een Facebook pagina tegenkwamen die zich voordeed als de commandant van het Libische Nationale Leger, 'Khalifa Haftar'. Naast een opperbevelhebber is Haftar een prominent figuur in de politieke arena van Libië en heeft hij een belangrijke rol gespeeld als militair leider in de aanhoudende burgeroorlog in het land.

Via deze Facebook pagina kon het security bedrijf deze malware herleiden tot de cybercriminelen die verantwoordelijk waren voor het jarenlang gebruiken van het sociale netwerkplatform. Websites werden gehackt om malware verder te verspreiden. En dit met succes het aantal slachtoffers is inmiddels opgelopen tot tienduizenden, voornamelijk uit Libië, maar ook in Europa, de Verenigde Staten en Canada zijn er slachtoffers gemeld.

Op basis van de informatie die het securitybedrijf heeft gedeeld met Facebook zijn de pagina's en accounts verwijderd die de malware verspreidden.

De Facebook pagina die zich voordeed als 'Khalifa Haftar' werd begin april 2019 gemaakt en heeft sindsdien meer dan 11.000 volgers. De pagina deelt berichten met politieke thema's en bevat URL's voor het downloaden van bestanden die voorgespiegeld worden als lekken van de inlichtingen diensten van Libië.

In de naam van 'Haftar'

Maar in plaats van de veel belovende informatie, bevatte de links kwaadaardige VBE- of WSF-bestanden voor Windows-omgevingen en APK-bestanden voor Android.

De cybercriminelen kozen voor open-source hulpmiddelen in plaats van hun eigen software te ontwikkelen en de slachtoffers te infecteren met bekende 'Remote Administration Tools' (RAT's) zoals Houdini, Remcos en SpyNote, die vaak worden gebruikt bij cyberaanvallen.

In deze casus werd de malware opgeslagen in Clouddiensten Google Drive, Dropbox, enz.

Omvang

Door de unieke fouten op te zoeken, heeft security bedrijf 'Check Point Research' sinds 2014 meer dan 30 Facebook-pagina's gevonden die schadelijke links verspreiden. Sommige van die pagina's zijn enorm populair en zijn al vele jaren actief.

Hieronder staan ​​de vijf populairste Facebook pagina's die in deze aanval zijn gebruikt, en het aantal volgers dat elk heeft

Wordt dit de nieuwe trend in de cyberwereld? Het infecteren van specifieke doelgroepen?

Bron: research.checkpoint.com

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.