Check Point Research a récemment découvert une campagne à grande échelle utilisant des pages Facebook depuis des années pour propager des logiciels malveillants dans les environnements de bureautique et mobiles, en ciblant un seul pays : la Libye.
Tribune Check Point – Il semble que la situation politique tendue en Libye soit utile à certains, qui l’utilisent pour inciter leurs victimes à cliquer sur des liens et télécharger des fichiers censés fournir des informations sur les raids aériens ou la capture de terroristes dans le pays, mais qui contiennent en réalité des logiciels malveillants.
L’enquête a commencé lorsque les chercheurs en sécurité sont tombés sur une page Facebook se faisant passer pour Khalifa Haftar, le commandant de l’armée nationale libyenne. En plus d’être maréchal, Haftar est une figure importante de l’arène politique libyenne. Il a joué un rôle majeur en tant que chef militaire durant la guerre civile qui continue de déchirer le pays.
Grâce à cette page Facebook, les chercheurs ont pu relier cette activité malveillante au pirate qui en est l’auteur, et découvrir comment il tirait parti de la plate-forme de réseau social depuis des années, en compromettant des sites web légitimes pour héberger des logiciels malveillants, puis en faisant des dizaines de milliers de victimes principalement en Libye, mais également en Europe, aux États-Unis et au Canada.
Grâce à ces informations qui ont été communiquées, Facebook a supprimé les pages et les comptes qui diffusaient des éléments malveillants dans le cadre de cette opération.
Il a été découvert par la même occasion plusieurs pages Facebook apparemment sans rapport, suivies par des milliers d’utilisateurs, et le pirate les exploitant pour propager des logiciels malveillants a été identifié. Une analyse sur l’évolution de ce pirate depuis l’époque de la dégradation de sites web jusqu’au lancement de campagnes plus sophistiquées a été réalisée dans la foulée.
Bien que l’ensemble des outils utilisés par le pirate ne soit ni avancé ni impressionnant en soi, l’utilisation de contenus personnalisés, de sites web légitimes et de pages très actives avec de nombreux abonnés facilitait considérablement l’infection de milliers de victimes. Les informations sensibles partagées dans le profil « Dexter Ly » impliquent que le pirate aurait réussi à infecter des responsables de haut rang.
Le pirate ne soutien apparemment aucun parti politique ni aucune des parties en conflit en Libye, mais ses actions semblent être motivées par des événements politiques, comme le sous-entend sa participation à des opérations telles que OpSyria il y a de cela plusieurs années, ainsi que sa volonté d’exposer des informations personnelles et des documents secrets dérobés au gouvernement libyen. Cela en parallèle du ciblage constant de victimes libyennes, qui pourrait cependant signifier que le pirate s’intéresse particulièrement à certains individus au sein de la foule.