Home Ciberguerra Facebook eliminó páginas cargadas de malware

Facebook eliminó páginas cargadas de malware

Foto: EFE.

Facebook eliminó más de 30 páginas de su plataforma después de que los analistas de seguridad de Check Point Research descubrieran que un ciberdelincuente había creado páginas falsas sobre la política libia y se había apoderado de otras páginas relacionadas con Libia, para introducir malware. El delincuente, aparentemente, estaba intentando robar datos, así como realizar espionaje.

Esta campaña, denominada “Operación Trípoli”, fue descubierta a principios de este año, pero parece haber comenzado ya en 2014, según un blog de Check Point publicado esta semana.

Los investigadores rastrearon la campaña hasta un actor que se hacía llamar “Dexter Ly”, que parece haber favorecido el uso de troyanos de acceso remoto de código abierto, como Houdini, Remcos y SpyNote, para infectar a las víctimas que hacían clic en enlaces incrustados en páginas reales y falsas de Facebook. Las páginas falsas, con nombres como “Libia Oficial”, “Libia Mi Pueblo” y “Crímenes en Libia”, contenían una mezcla de hechos y ficción sobre la guerra civil y la situación política en Libia, escrita en inglés y árabe, según Check Point.

Algunos de los enlaces falsos usados en estas páginas de Facebook dicen que contienen documentos delicados del gobierno relacionados con la agitación en Libia, así como noticias de todo el país, según Check Point.

Aunque el objetivo final de esta campaña no está claro, Dexter Ly parece haber combinado el robo de datos de los usuarios para obtener beneficios económicos con el espionaje de los estados nacionales, dijo Lotem Finkelsteen, director del grupo de inteligencia de amenazas de Check Point, a Information Security Media Group.

“El alcance de la campaña y la naturaleza de los ladrones de información que se utilizan en estos ataques nos enseñan que Dexter Ly buscaba credenciales para servicios en línea y documentos personales: el clásico delito electrónico”, explicó Finkelsteen. “Sin embargo, su alarde de víctimas de alto perfil y su acceso a documentos secretos del gobierno libio y de la diplomacia nos enseña que también estaba muy interesado en recopilar información delicada que pudiera asociarse con las campañas de espionaje tradicionales”.

La investigación de la Operación Trípoli comenzó a principios de este año después de que los investigadores de Check Point se toparan con una página falsa en Facebook para Khalifa Haftar, comandante del Ejército Nacional de Libia. En ese momento, la cuenta, que se creó en abril, contaba con unos 11.000 seguidores.

El verdadero Haftar está profundamente involucrado en la guerra civil y en la política diaria del país, pero la página falsa de Facebook que los investigadores de Check Point encontraron contenía numerosos errores ortográficos y gramaticales, así como enlaces a lo que se anunciaba como documentos secretos del gobierno y otra información, incluyendo solicitudes falsas para unirse al ejército libio.

El análisis de Check Point de la campaña encontró archivos maliciosos de Visual Basic Editor o Windows Script File para máquinas Windows, o archivos de Android Package para usuarios de Android, que descargaban los diferentes troyanos que el atacante utilizó durante su campaña de cinco años.

En la mayoría de los casos, el actor almacena muestras maliciosas en archivos de almacenamiento en nube como Google Drive, Dropbox, Box y otros para su uso en las páginas falsas de Facebook. Sin embargo, en otros momentos, Dexter Ly se hizo cargo de sitios web y páginas de Facebook legítimos que tenían interés en la actualidad libia y propagaban malware desde allí, encontró Check Point.

Al examinar los diversos errores y el lenguaje utilizado en la falsa página de Haftar, los investigadores de Check Point encontraron las otras páginas de Facebook asociadas con la persona de Dexter Ly. La investigación también mostró cómo el actor publicaría nuevos artículos y otros elementos para dar a cada página un aspecto fresco y actualizado para que los usuarios sigan volviendo.

Estas páginas de Facebook tuvieron alrededor de 100.000 usuarios en el transcurso de los últimos cinco años, según Check Point.

Después de realizar su investigación, Check Point se puso en contacto con Facebook, que desde entonces ha derribado todas las páginas y está investigando.

“Estas páginas y cuentas violaban nuestras políticas, y las retiramos después de que Check Point nos las reportó”, dijo un portavoz de Facebook. “Seguimos invirtiendo en tecnología para mantener la actividad maliciosa fuera de Facebook, y animamos a la gente a que permanezca alerta a la hora de hacer clic en enlaces sospechosos o descargar software no fiable”.

Con información de: Genbeta.