Facebook cierra más de 30 cuentas que difundían malware
- Endpoint
Los atacantes sacaban partido de la situación política de Libia, ya que estas páginas ofrecían supuesta información e imágenes sobre los últimos acontecimientos en el país, la detención de terroristas, etc., pero en realidad descargaban archivos maliciosos para entornos Windows y Android.
Durante años, una campaña llamada “Operation Tripoli” ha estado utilizando páginas de Facebook para infectar con malware decenas de miles de equipos móviles y fijos en todo el mundo. Los investigadores de Check Point Software han sido capaces de rastrear toda la actividad del atacante, y señalan que se fueron creando más de 30 páginas de Facebook desde 2014, que han estado infectando de código malicioso a miles de internautas. De hecho, algunas de estas páginas son muy populares, ya que superaban los 100.000 seguidores. Facebook ya ha procedido a su cierre.
Los atacantes sacaban partido de la tensa situación política de Libia, ya que estas páginas ofrecían supuesta información e imágenes sobre los últimos acontecimientos en el país, la detención de terroristas, etc., pero en realidad contenían código malicioso. La investigación comenzó con una página de Facebook que suplantaba la identidad de Khalifa Haftar, comandante del ejército de Libia, la cual llegó a contar con más de 11.000 seguidores, compartía posts sobre la actualidad política del país e incluía URLs para descargar archivos que simulaban ser filtraciones de las unidades de inteligencia de Libia. Asimismo, algunas de estas direcciones web llevaban a supuestas aplicaciones móviles dirigidas a ciudadanos interesados en unirse al ejército libio. Sin embargo, estas URLs descargaban archivos maliciosos para entornos Windows y Android.
A pesar de que la mayoría de los archivos infectados se almacenaban en servicios como Google Drive, el atacante fue capaz de comprometer la seguridad de otras webs como Libyana, uno de los operadores móviles más importantes del país. La web de esta compañía contenía un archivo RAR en 2014, el cual se anunciaba en algunas páginas como un paquete de crédito regalado por el operador móvil, pero en realidad contenía un ejecutable malicioso.NET.
Los investigadores de Check Point han podido seguir el rastro del atacante que durante años ha estado aprovechándose de las ventajas de Facebook para infectar a miles de víctimas en Libia, Europa, Estados Unidos y Canadá. El ciberatacante tenía creado un perfil bajo el nombre de “Dexter Ly”, donde compartía información sensible de sus víctimas, lo que incluía documentos oficiales del gobierno de Libia, correos electrónicos, números de teléfono de los oficiales del ejército e incluso fotografías de algunos pasaportes.
Para Eusebio Nieva, director técnico de Check Point para España y Portugal, “este ataque pone de manifiesto los riesgos de la red. A pesar de que las herramientas empleadas no destacaban por su alto nivel, ha sido capaz de afectar a cientos de miles de internautas en todo el planeta, dejando claro el potencial peligro de las ciberamenazas. Por tanto, una vez más desde Check Point animamos a actualizar las soluciones de seguridad y seguir trabajando en favor de la prevención de amenazas con el objetivo de evitar convertirnos en la próxima víctima”.
