اكتشفت شركة أمنية عشرات حسابات وصفحات فيس بوك كانت تنشر أحصنة طروادة و برمجيات خبيثة للتحكم بأجهزة المستخدمين عن بعد وهي نشطة منذ خمسة أعوام على الأقل.
ووصل عدد الحسابات التي اكتشفتها شركة Check Point وحذفتها فيس بوك لأكثر من 30 حساب، وكانت ترسل روابط لصفحات ويب معدّة خصيصاً لنشر البرمجيات الخبيثة وكانت تقنع المستخدم بالضغط عليها من خلال نشرها أخبار تتعلق بالحرب في ليبيا حينها.
قد يكون العدد صغيراً لكن تأثير تلك الحسابات كبير حيث أن بعضها لديه أكثر من 100 ألف متابع، وكانت تلك الحسابات والصفحات ترسل رسائل متكررة للمستخدمين تحوي روابط مزيفة لملفات تطلب منهم تنزيلها من أجل الحصول على معلومات حول الضربات العسكرية الجوية أو عمليات القبض على المطلوبين.
وبدأت الشركة الأمنية تحقيقها في عملية سميت باسم العاصمة طرابلس بعدما عثرت على صفحة فيس بوك مزيفة ينتحل صاحبها شخصية قائد الجيش الوطني خليفة حفتر. تأسست الصفحة منذ ثلاثة أشهر لكن لديها 11 ألف متابع وتنشر منشورات تحوي روابط تدّعي أنها تسريبات من الاستخبارات الليبية وذلك لدفع المتابعين للضغط على الروابط المزيفة.
وكانت كل الروابط المنشورة تقوم بتنصيب سكربتات أو تطبيقات أندرويد خبيثة تحوي أدوات سيطرة وتحكم عن بعد بأجهزة المستخدم مثل Houdini, Remcos, و SpyNote.
وفي محاولة بسيطة لتمويه تلك الروابط كان يتم تقصيرها باستخدام خدمات شهيرة بما فيها خدمة قوقل، وكانت تشير إلى ملفات مخزنة على السحابات الشهيرة مثل دروب بوكس وقوقل درايف.
تلك كانت معظم الحالات، لكن بعض الهجمات كانت قد تمت عبر ملفات خبيثة تم زرعها في موقع أكبر شركة اتصالات ليبية تدعى ليبيانا.
من المتهم؟ يشير البحث الأمني إلى أن الملفات كانت توصل إلى مخدم سيطرة وتحكم يحمل اسم النطاق “drpc.duckdns[.]org.” وتم ربط النطاق بعنوان IP كان يستخدم سابقاً لموقع “libya-10[.]com[.]ly,” والذي استخدم أيضاً مخدمات لنشر ملفات خبيثة قبل عامين.
باستخدام خدمة WHOIS كانت تلك النطاقات مسجلة باسم “Dexter Ly” وبعنوان بريد الكتروني “drpc1070@gmail.com.”.
وكانت معظم النقرات على الروابط التي تحمل الملفات الخبيثة تأتي من ليبيا، لكن هناك أيضاً العديد من الضحايا من أوروبا والولايات المتحدة وكندا.
ووصل عدد الحسابات التي اكتشفتها شركة Check Point وحذفتها فيس بوك لأكثر من 30 حساب، وكانت ترسل روابط لصفحات ويب معدّة خصيصاً لنشر البرمجيات الخبيثة وكانت تقنع المستخدم بالضغط عليها من خلال نشرها أخبار تتعلق بالحرب في ليبيا حينها.
قد يكون العدد صغيراً لكن تأثير تلك الحسابات كبير حيث أن بعضها لديه أكثر من 100 ألف متابع، وكانت تلك الحسابات والصفحات ترسل رسائل متكررة للمستخدمين تحوي روابط مزيفة لملفات تطلب منهم تنزيلها من أجل الحصول على معلومات حول الضربات العسكرية الجوية أو عمليات القبض على المطلوبين.
وبدأت الشركة الأمنية تحقيقها في عملية سميت باسم العاصمة طرابلس بعدما عثرت على صفحة فيس بوك مزيفة ينتحل صاحبها شخصية قائد الجيش الوطني خليفة حفتر. تأسست الصفحة منذ ثلاثة أشهر لكن لديها 11 ألف متابع وتنشر منشورات تحوي روابط تدّعي أنها تسريبات من الاستخبارات الليبية وذلك لدفع المتابعين للضغط على الروابط المزيفة.
وكانت كل الروابط المنشورة تقوم بتنصيب سكربتات أو تطبيقات أندرويد خبيثة تحوي أدوات سيطرة وتحكم عن بعد بأجهزة المستخدم مثل Houdini, Remcos, و SpyNote.
وفي محاولة بسيطة لتمويه تلك الروابط كان يتم تقصيرها باستخدام خدمات شهيرة بما فيها خدمة قوقل، وكانت تشير إلى ملفات مخزنة على السحابات الشهيرة مثل دروب بوكس وقوقل درايف.
تلك كانت معظم الحالات، لكن بعض الهجمات كانت قد تمت عبر ملفات خبيثة تم زرعها في موقع أكبر شركة اتصالات ليبية تدعى ليبيانا.
من المتهم؟ يشير البحث الأمني إلى أن الملفات كانت توصل إلى مخدم سيطرة وتحكم يحمل اسم النطاق “drpc.duckdns[.]org.” وتم ربط النطاق بعنوان IP كان يستخدم سابقاً لموقع “libya-10[.]com[.]ly,” والذي استخدم أيضاً مخدمات لنشر ملفات خبيثة قبل عامين.
باستخدام خدمة WHOIS كانت تلك النطاقات مسجلة باسم “Dexter Ly” وبعنوان بريد الكتروني “drpc1070@gmail.com.”.
وكانت معظم النقرات على الروابط التي تحمل الملفات الخبيثة تأتي من ليبيا، لكن هناك أيضاً العديد من الضحايا من أوروبا والولايات المتحدة وكندا.
