手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

Tripoli:通过Facebook页面传播、针对利比亚人民的恶意软件攻击行动

来源:本站整理 作者:佚名 时间:2019-07-06 TAG: 我要投稿

近日,Check Point Research研?#23458;?#38431;发现了一起大规模的攻击行动,该行动已存在多年,一直通过Facebook页面向用户传播恶意软件,且目标国家只有一个——利比亚。
攻击者利用了利比亚紧张的政治局势,通过带有利比亚最新空袭或抓捕恐怖分子消息的钓鱼文档引诱受害者点击链接并下载恶意文件。
我们的调查始于Facebook上一个伪装成利比亚国民军指挥官哈利法·哈夫塔(Khalifa Haftar)的个人页面。除了担任陆军元帅外,哈夫塔还是利比亚政治舞台上的一位重要人物,在利比亚持续?#27426;?#30340;内战中,他作为一名军事领导人发挥了重要作用。
通过此Facebook页面,我们追溯到了恶意活动背后的攻击者,并了解到他们多年来是如何利用社交网络?#25945;ā?#30772;坏合法网站来托管恶意软件的,并且我们发现,受害者成千上万,除了主要来自利比亚之外,在?#20998;蕖?#32654;国和加拿大等地也有一些用户不幸中招。
最后我们向Facebook上报了调查结果,Facebook对这些页面和账户做了封禁处理。
以哈夫塔的名义钓鱼
这个伪装成哈利法·哈夫塔的Facebook主页创建于2019年4月初,?#38405;且?#21518;已经吸引了超过1.1万名粉丝。该页面分享过一些政治主题的帖子,其中包括所谓“利比亚泄露情报”的下载网址,比如“揭露卡塔尔或土耳其等国密谋反对利比亚”的文件,还有一些下载链接指向了移动应用程序,名义上是为了有意加入利比亚武?#23433;?#38431;的公民设计的:

但点击这些链接后将下载Windows环境下的恶意VBE或WSF文件,或是Android环境下的APK文件。威胁行为者选择的是开源工具而非自己开发的工具,并用一些已知的远程管理工具(rat),如Houdini、Remcos和SpyNote等来感染受害者。恶意样本通常存储在诸如Google Drive、Dropbox、Box等文件托管服务中。
Facebook之外
但Facebook页面的用户名(@kalifhafatr)却?#21019;?#20102;Haftar的名字,可能是攻击者有意为之。在网上查找该错名会得到一个同名的Blogger帐户,自2015年以来一直活跃,管理过多个博客主页:

账号最近发表的文章中也使用了Haftar的名字,会在用户访问时自动下载恶意VBE:

重复的语法错误
另一个能?#24471;?#35813;页面存在问题的嫌疑是,几乎每篇文章中都有大量语法错误。哈夫塔的名字并不是Facebook页面上唯一的拼?#21019;?#35823;,这些帖子中还有很多拼?#21019;?#35823;的单词。下面是其中一篇文章,突出显示的都是语法上的错误:

这些错误大部分都?#20405;?#22797;的,?#34892;?#24086;子使用的单词在阿拉伯语中并不存在,因为作者原本就打算故意缺少某些字母(例如“Pove”而不是“Prove”)。
挖掘出更多Facebook账户
通过查找一些错误措辞的组合,我们在Facebook的网页上看到了许多重复同样错误的帖子,似乎是由同一人所为。自2014年以来,有30多个Facebook个人主页一直在传播恶意链接,其中一些账号活跃多年,粉?#24656;?#22810;。以下是我们挖掘到的主页中最受?#38431;?#30340;前五个:

回顾这些年来的活动我们发现,攻击者可能是在的最初所有者创建和操作主页一段时间后,再通过破坏管理员设备的方?#20132;?#21462;这些页面的访问权限。这些人的主页涉?#23433;?#21516;的主题,但它们有一个共同点,那就是目标受众都是利比亚人民。其中一些页面会模仿利比亚重要人物和领导人,另一些则涉及该国的某些政治活动或军事行动。
这些年来,攻击者一共发布了40多个恶意链接。通过网页和链接之间的关系也能看出,恶意活动是高度交织的:

受害者定位
由于攻击者使用了URL短链(bit.ly,goo.gl,tinyurl等),我们可以知晓每个链接的点击人数,某些情况下还可以知道这些用户来?#38405;?#20010;国家,以及他们的使用环境。大多数链接都有数千次点击,点击时间集中在链接创建和共享时:

这些链接的传播主要依靠Facebook:

大多数受影响的用户来自利比亚,也有来自?#20998;蕖?#32654;国和加拿大的受害者。下面的截图显示了其中一个链接,6500次点击中有5120次来自利比亚:

为吸引关注者而不是仅仅通过分享恶意链接来引起他们的怀疑,这些页面还会发布利比亚的最新消息,多个主页会在同一天内重复发布:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        疯狂之七游戏 西甲皇家贝蒂斯对埃瓦尔比分预测 埃弗顿走出的球星 凯蒂小屋怎么玩 山西快乐10分走势图双 福彩排列七走势图 vr赛车开奖网站 大众麻将四人麻将免费 玩牛牛技巧 糖果大陆电子游戏