Verschlüsselung & Datensicherheit

Verbreitung von Remote-Access-Trojanern per Facebook

Verbreitung von Remote-Access-Trojaner per Facebook
Die Zahl der Missbrauchopfer schätzt Check Point auf mehrere Zehntausend.

Bereits seit 2014 wurde Facebook für die Verbreitung von Remote-Access-Trojanern missbraucht. Die Autoren aus Libyen haben wahrscheinlich politische Ziele. Mittels gefälschten Facebook-Seiten werden Nutzer auf schädliche Links geleitet.

Systeme weltweit kompromittiert

Laut Forschern von Check Point wurde Facebook über einen Zeitraum von mehreren Jahren zur Verteilung von Remote-Access-Trojanern (RAT) benutzt, wie zdnet.de dazu berichtete. Still und heimlich soll die Kampagne unbemerkt seit 2014 aktiv gewesen sein. Die Täter sollen vor allem politische Ziele im Zusammenhang mit dem Bürgerkrieg in Libyen verfolgt haben, wie es weiter dazu verlautet.

Die Zahl der Opfer schätzt Check Point auf mehrere Zehntausend. Die Operation, bei der unter anderem die RATs Houdini, Remcos und SpyNote eingesetzt wurden, kompromittierte nicht nur Systeme in Libyen, sondern auch in Deutschland, Großbritannien, der Türkei, den USA und China.

Verbreitung politischer Inhalte

Zuletzt war eine Facebook-Seite, die dem Anführer der selbst ernannten lybischen Nationalarmee Khalifa Haftar gehören soll, Ausgangspunkt der Kampagne. Sie wurde im April 2019 eingerichtet und zog seitdem mehr als 11.000 Follower an. Andere Seiten mit „Lybia My People“ hatten sogar mehr als 110.000 Abonnenten.

Über diese Seiten wurden politische Inhalte verbreitet. Einige Posts enthielten zudem Links, um Dateien herunterzuladen, die beispielsweise als durchgesickerte Geheimdienstunterlagen beworben wurden. Sie sollten belegen, dass Drittstaaten eigene Interessen in Libyen verfolgen. Einige URLs führten auch zu mobilen Anwendungen, beispielsweise für Bürger, die sich der lybischen Nationalarmee anschließen wollten.

Arabische Hintermänner

Stattdessen führten die Links jedoch zu schädlichen Windows-Skripten oder speziell gestalteten APK-Installationsdateien für Android. Die eigentlichen Remote-Access-Trojaner wurden über Cloudspeicher wie Google Drive, Dropbox und Box gehostet.

Aufgrund bestimmter Rechtschreibfehler in den Posts geht Check Point davon aus, dass die Hintermänner Arabisch sprechen. Die Fehler – zum Teile fehlen einzelne Buchstaben – wurden den Forschern zufolge nicht von Online-Übersetzungsdiensten generiert. Die offenbar recht einmaligen Rechtschreibfehler halfen den Forschern zudem, weitere gefälschte Facebook-Seiten aufzudecken, die ebenfalls für die Kampagne benutzt wurden. In einigen Fällen sollen die Angreifer diese Seiten jedoch nicht selbst angelegt haben, sondern später die Kontrolle über sie übernommen haben.

Über die Infrastruktur der Kampagne identifizierte Check Point zudem einen Nutzer namens Dexter Ly als wahrscheinlichen Hintermann. Er soll sich früher bereits an Cyberangriffen auf die lybische Regierung beteiligt haben, unter anderem in Zusammenarbeit mit dem Hackerkollektiv Anonymous.

Für Nutzer ist Vorsicht geboten

Facebook hat die fraglichen Seiten inzwischen gelöscht. Ein Sprecher des Unternehmens begründete dies mit Verstößen gegen die Richtlinien. Facebook investiere zudem in Technologien zur Erkennung schädlicher Aktivitäten. Trotzdem sollten Nutzer nicht auf verdächtige Links klicken oder gar nicht vertrauenswürdige Software herunterladen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben