facebook
5

5 lat rozsyłania malware’u i nikt się nie zorientował. Nawet Facebook

Wyobraźcie sobie profile na Facebooku, które angażują spore społeczności. Wyobraźcie sobie co można z nimi zrobić. Okazuje się, że przez minimum pięć lat takie właśnie profile były odpowiedzialne za rozprzestrzenianie złośliwego oprogramowania. Rzecz dzieje się w Afryce, przez co rzecz jasna jest to dla nas przypadek lekko "egzotyczny", ale mimo wszystko warto zwrócić na to uwagę.

Badacze, którzy rozpracowali ten proceder najpierw natrafili na linki prowadzące do złośliwego oprogramowania publikowane na profilach takich jak „Marshal Khalifa Haftar”, które miało wskazywać na jednego z dowódców armii libijskiej. Na tym koncie prezentowano treści wskazujące na to, że Katar oraz Turcja kolaborują ze sobą po to, aby przeszkadzać w interesach Libii i tym podobne rzeczy. Ale wśród tych postów znalazły się również takie z linkami prowadzącymi np. do aplikacji, która miałaby pomóc w zaciągnięciu się do libijskiej armii.

Oczywiście, zamiast linku do aplikacji znajdowały się tam skrypty VBS, które są znane z tego, że najczęściej zawierają w sobie bardzo niebezpieczny „ładunek”. Analiza treści na tym profilu pozwoliła badaczom na wskazanie kilku bardzo interesujących błędów gramatycznych oraz składniowych autora tych kampanii. Dalsze poszukiwania wskazały na inne profile, na których popełniano bardzo podobne „pomyłki”.

30 innych kont

Od około 2014 roku aktywne były 30 innych profilów, na których popełniano podobne błędy, a także wiele wskazywało na ich bardzo bliskie powinowactwo. I co bardzo istotne – te też zajmowały się „przy okazji” rozsiewaniem złośliwego oprogramowania. 5 najbardziej popularnych stron stworzonych przez tego samego autora mogło pochwalić się 422 000 subskrybentów na Facebooku.

Facebook Dexter Ly

Dzięki temu, że autor (lub autorzy) kampanii skracali linki za pomocą zewnętrznych usług, można było nabyć dane dotyczące ilości kliknięć oraz (w przybliżeniu) demografii. Nie jest raczej zaskoczeniem fakt, iż najwięcej klików pochodziło z Libii, znalazły się jednak również te wskazujące na Europę, USA, Kanadę i parę innych krajów. Z pewnością wiadomo, że złośliwe oprogramowanie dystrybuowano głównie na Facebooku.

Badaczom udało się nawet wskazać na osobę, która mogła odpowiadać za wszystkie te kampanie – bazując na danych z WHOIS i domenach, których użyto jako adresy serwerów C&C wyłuskano adres e-mail: „drpc1070@gmail.com”. Również pseudonim „Dexter Ly” poniekąd skierował ich na jedno konto w serwisie Facebook, które… popełniało bardzo podobne błędy co tworzone fałszywe profile.

Ale to nie wszystko, na tym profilu można było znaleźć wrażliwe informacje należące prawdopodobnie do ofiar złośliwego oprogramowania – dane dotyczące paszportów, prywatne maile, numery telefonów do polityków i inne, naprawdę ciekawe rzeczy. Odkrywcy z Check Point postanowili poinformować o procederze Facebooka, który zachował się w jedyny słuszny sposób – usuwając konto i należące do niego informacje wraz ze złośliwymi stronami.

Zastanawiające jest to, że te konta, a także tożsamość atakującego były nieznane przez 5 lat jego działalności. Na jego sztuczki złapało się mnóstwo osób i najpewniej „Dexter Ly” zarobił na tym niemałe pieniądze. Niewykluczone, że podobne złośliwe kampanie są prowadzone w innych miejscach – warto więc uważać na to, w co klikamy – także na Facebooku.