Campaña de malware en Facebook infecta a usuarios

Los investigadores de Check Point Software Technologies, proveedor especializado en ciberseguridad, han descubierto una campaña que durante años ha estado utilizando páginas de Facebook para infectar con malware decenas de miles de equipos móviles y fijos en todo el mundo. Para ello, los atacantes sacaban partido de la tensa situación política de Libia, ya que estas páginas ofrecían supuesta información e imágenes sobre los últimos acontecimientos en el país, la detención de terroristas, etc., pero en realidad contenían código malicioso.

La investigación comenzó con una página de Facebook que suplantaba la identidad de Khalifa Haftar, comandante del ejército de Libia y una de las figuras políticas más destacadas del país. Esta página, que llegó a contar con más de 11.000 seguidores, compartía posts sobre la actualidad política del país e incluía URLs para descargar archivos que simulaban ser filtraciones de las unidades de inteligencia de Libia. Asimismo, algunas de estas direcciones web llevaban a supuestas aplicaciones móviles dirigidas a ciudadanos interesados en unirse al ejército libio. Sin embargo, en lugar del contenido prometido, estas URLs descargaban archivos maliciosos para entornos Windows y Android.

En este sentido, los expertos de la compañía han sido capaces de rastrear toda la actividad del atacante, y señalan que se fueron creando más de 30 páginas de Facebook desde 2014, que han estado infectando de código malicioso a miles de internautas. De hecho, algunas de estas páginas son muy populares, ya que superaban los 100.000 seguidores. En este caso, la mayoría de las páginas cubrían las noticias de ciudades como Trípoli o Benghazi.

A pesar de que la mayoría de los archivos infectados se almacenaban en servicios como Google Drive, el atacante fue capaz de comprometer la seguridad de otras webs como Libyana, uno de los operadores móviles más importantes del país. La web de esta compañía contenía un archivo RAR en 2014, el cual se anunciaba en algunas páginas como un paquete de crédito regalado por el operador móvil, pero en realidad contenía un ejecutable malicioso.NET.

El ciberatacante tenía creado un perfil bajo el nombre de “Dexter Ly”, donde compartía información sensible de sus víctimas, lo que incluía documentos oficiales del gobierno de Libia, correos electrónicos, números de teléfono de los oficiales del ejército e incluso fotografías de algunos pasaportes.

Los investigadores de Check Point han podido seguir el rastro del atacante que durante años ha estado aprovechándose de las ventajas de Facebook para infectar a miles de víctimas en Libia, Europa, Estados Unidos y Canadá. Asimismo, la compañía ya ha compartido esta información con Facebook, con el objetivo de cerrar todas las páginas que distribuían malware.

0