最近，一個使用Facebook頁面中的“有毒”鏈接分發(fā)惡意軟件的大型網(wǎng)絡(luò)犯罪活動被曝光。來自Check Point研究團隊的專家表示這項活動至少自2014年以來一直存在。

?[[269617]]?

據(jù)悉，威脅行為者主要針對來自利比亞以及歐洲、美國、加拿大和中國的受害者。其中Houdini、Remcos和SpyNote等遠程訪問木馬(RAT)被廣泛用于入侵感染目標設(shè)備。

事件概覽

威脅行為者利用利比亞的政治動蕩來誘使受害者從移動端或PC端的幾個Facebook頁面上發(fā)布的惡意鏈接下載惡意軟件。

具體來說，其中一個偽裝成利比亞國民軍( Libyan National Army)首席指揮官Khalifa Haftar的Facebook頁面。該頁面創(chuàng)建于2019年4月初，此后已成功吸引了超過11000名粉絲。該頁面常發(fā)布或分享具有政治主題的帖子，包含用于下載利比亞情報部門泄密文件的URL(事實上當然是虛假的)。

??

實際上，這個頁面包含惡意VBE、WSF(適用于Windows系統(tǒng))和APK(適用于Android設(shè)備)格式的文件，這些文件在下載時能夠進一步部署惡意軟件。這些惡意軟件主要包括Houdini、Remcos和SpyNote等臭名昭著的RAT。

Check Point研究團隊發(fā)現(xiàn)，自2014年以來，共有超過30個Facebook頁面分發(fā)了與這些惡意軟件相關(guān)的超過40個“有毒”鏈接，甚至某些網(wǎng)頁擁有超過10萬名關(guān)注者。

??

粉絲數(shù)量最多的5個惡意Facebook頁面

此外，威脅行為者還攻擊了一些合法網(wǎng)站，包括俄羅斯網(wǎng)站、以色列網(wǎng)站和摩洛哥新聞網(wǎng)站。

攻擊目標

Check Point專家認為威脅行為者的主要目標是利比亞。然而，還有來自歐洲、美國、加拿大和少量中國的受害者也被卷入其中。

“這些Facebook頁面涉及不同的主題，但共同點在于威脅行為者似乎都是圍繞著利比亞相關(guān)人物和事件：這些網(wǎng)頁都偽裝成利比亞某些部門領(lǐng)導人或支持該國某些政治運動、軍事行動的知名人士，大部分都是來自的黎波里(首讀)或班加西(第二大城市)等城市的新聞頁面”，研究人員在他們的博客中寫道。