В ходе расследования экспертам удалось обнаружить в соцсети более 30 страниц, распространяющих примерно 40 вредоносных ссылок с 2014 года. У некоторых из этих аккаунтов больше 100 тысяч подписчиков.
Они все так или иначе связаны с Ливией и представляют собой фальшивые страницы либо лидеров страны, либо местных политических и военных кампаний, либо местных новостных изданий. По мнению специалистов, стоящий за кибератаками преступник мог перехватить контроль над этими аккаунтами.
Фейковая страница главнокомандующего национальной армией Ливии Халифы Хафтара была первым аккаунтом, на который вышла CheckPoint Research. Он был создан в апреле 2019 года и успел привлечь более 11 тысяч подписчиков.
Вредоносные файлы загружались на устройства пользователей при переходе по размещенным на странице ссылкам. Среди них были такие трояны удаленного доступа, как Houdini, Remcos и SpyNote. Программы размещались на публичных серверах, принадлежащих в том числе Google.Диск, Box и Dropbox.
По данным компании, предполагаемый организатор кибератак скрывается под псевдонимом Dexter Ly. Ранее он уже участвовал в атаках, направленных на кражу конфиденциальной информации, связанной с Ливией.
Check Point поставил Facebook в известность о своих находках, и администрация соцсети уже удалила вредоносные страницы.