最近，一個使用Facebook頁面中的“有毒”鏈接分發(fā)惡意軟件的大型網(wǎng)絡犯罪活動被曝光。

來自Check Point研究團隊的專家表示這項活動至少自2014年以來一直存在。

據(jù)悉，威脅行為者主要針對來自利比亞以及歐洲、美國、加拿大和中國的受害者。

其中Houdini、Remcos和SpyNote等遠程訪問木馬(RAT)被廣泛用于入侵感染目標設備。

事件概覽威脅行為者利用利比亞的政治動蕩來誘使受害者從移動端或PC端的幾個Facebook頁面上發(fā)布的惡意鏈接下載惡意軟件。

具體來說，其中一個偽裝成利比亞國民軍( Libyan National Army)首席指揮官Khapfa Haftar的Facebook頁面。

該頁面創(chuàng)建于2019年4月初，此后已成功吸引了超過11000名粉絲。

該頁面常發(fā)布或分享具有政治主題的帖子，包含用于下載利比亞情報部門泄密文件的URL(事實上當然是虛假的)。

實際上，這個頁面包含惡意VBE、WSF(適用于Windows系統(tǒng))和APK(適用于Android設備)格式的文件，這些文件在下載時能夠進一步部署惡意軟件。

這些惡意軟件主要包括Houdini、Remcos和SpyNote等臭名昭著的RAT。

Check Point研究團隊發(fā)現(xiàn)，自2014年以來，共有超過30個Facebook頁面分發(fā)了與這些惡意軟件相關的超過40個“有毒”鏈接，甚至某些網(wǎng)頁擁有超過10萬名關注者。

粉絲數(shù)量最多的5個惡意Facebook頁面此外，威脅行為者還攻擊了一些合法網(wǎng)站，包括俄羅斯網(wǎng)站、以色列網(wǎng)站和摩洛哥新聞網(wǎng)站。

攻擊目標Check Point專家認為威脅行為者的主要目標是利比亞。

然而，還有來自歐洲、美國、加拿大和少量中國的受害者也被卷入其中。

“這些Facebook頁面涉及不同的主題，但共同點在于威脅行為者似乎都是圍繞著利比亞相關人物和事件：這些網(wǎng)頁都偽裝成利比亞某些部門領導人或支持該國某些政治運動、軍事行動的知名人士，大部分都是來自的黎波里(首讀)或班加西(第二大城市)等城市的新聞頁面”，研究人員在他們的博客中寫道。