Os pesquisadores da Check Point descobriram recentemente uma campanha que há anos vem utilizando páginas do Facebook para infectar com malware dezenas de milhares de dispositivos móveis e fixos em todo o mundo. Para isso, os atacantes aproveitaram a tensa situação política na Líbia, já que essas páginas ofereciam supostas informações e imagens sobre os últimos acontecimentos naquele país, a prisão de terroristas, entre outros temas, mas, na realidade, continham códigos maliciosos.
A investigação começou quando os pesquisadores se depararam com uma página no Facebook representando a identidade de Khalifa Haftar, comandante do exército líbio e uma das figuras políticas mais proeminentes do país. Essa página, que tinha mais de 11.000 seguidores, compartilhou postagens sobre as notícias políticas do país e incluiu URLs para baixar arquivos que simulavam vazamentos de unidades de inteligência líbias. Além disso, alguns desses endereços da web levaram a supostos aplicativos móveis destinados a cidadãos interessados em se unir ao exército líbio. No entanto, em vez do conteúdo prometido, essas URLs baixaram arquivos maliciosos para ambientes Windows e Android.
Neste sentido, os especialistas da Check Point puderam rastrear toda a atividade do atacante, e apontaram que foram criadas mais de 30 páginas do Facebook desde 2014, as quais infectaram com códigos maliciosos milhares de usuários da Internet. De fato, algumas dessas páginas são muito populares, já que ultrapassaram 100.000 seguidores. Nesse caso, a maioria das páginas cobria as notícias de cidades como Trípoli ou Benghazi.
Embora a maioria dos arquivos infectados tenha sido armazenada em serviços como o Google Drive, o atacante conseguiu comprometer a segurança de outros sites, como a Libyana, uma das operadoras móveis mais importantes do país. O site desta empresa continha um arquivo RAR em 2014, que foi anunciado em algumas páginas como um pacote de crédito dado pela operadora de celular, mas, na realidade, continha um executável .NET malicioso.
O ciberatacante criou um perfil sob o nome de “Dexter Ly”, com o qual compartilhou informações confidenciais sobre suas vítimas, que incluíam documentos oficiais do governo líbio, e-mails, números de telefone de oficiais do exército e até fotos de alguns passaportes. “Dexter Ly” é o avatar do atacante:
Os pesquisadores da Check Point puderam acompanhar a trilha do atacante que há anos vem aproveitando as vantagens do Facebook para infectar milhares de vítimas na Líbia, Europa, Estados Unidos e Canadá. Da mesma forma, a empresa já compartilhou essa informação com o Facebook, com o objetivo de fechar todas as páginas que distribuíam malware.
