Meta, a empresa anteriormente conhecida como Facebook, anunciou na terça-feira que tomou medidas contra quatro grupos cibernéticos diferentes do Paquistão e da Síria que foram encontrados visando pessoas no Afeganistão, bem como jornalistas, organizações humanitárias e forças militares anti-regime no Ocidente País asiático.
O ator da ameaça paquistanesa, apelidado de SideCopy, teria usado a plataforma para destacar pessoas com laços com o governo afegão, militares e policiais em Cabul.
A campanha, que Meta apelidou de “operação persistente e com bons recursos”, envolveu o envio de links maliciosos, muitas vezes encurtados usando serviços de encurtamento de URL, para sites que hospedam malware entre abril e agosto de 2021, com os operadores se passando por mulheres jovens e enganando os destinatários com iscas românticas em uma tentativa de fazê-los clicar em links de phishing ou fazer download de aplicativos de bate-papo com cavalos de troia.
Os analistas de inteligência de ameaças da Meta disseram que esses aplicativos eram uma fachada para duas cepas de malware distintas, um trojan de acesso remoto chamado PJobRAT, que foi encontrado anteriormente como alvo das forças militares indianas, e um implante anteriormente não documentado chamado Mayhem, que é capaz de recuperar listas de contatos, mensagens de texto, registros de chamadas, informações de localização, arquivos de mídia, metadados do dispositivo e até mesmo conteúdo de rascunho na tela do dispositivo abusando dos serviços de acessibilidade.
Entre outras táticas do SideCopy, o grupo de hackers se envolveu em uma série de atividades nefastas, incluindo operar lojas de aplicativos desonestos, comprometendo sites legítimos para hospedar páginas de phishing maliciosas que foram projetadas para manipular as pessoas a desistir de suas credenciais do Facebook. O grupo foi removido do Facebook em agosto.
Além disso, Meta também disse que interrompeu três redes de hackers ligadas ao governo sírio e, especificamente, à Inteligência da Força Aérea da Síria –
- Exército Eletrônico Sírio, também conhecido como APT-C-27, que tinha como alvo organizações humanitárias, jornalistas e ativistas no sul da Síria, críticos do governo e indivíduos associados ao Exército Livre da Síria anti-regime com links de phishing para entregar uma mistura de produtos disponíveis comercialmente e personalizados malware, como njRAT e HmzaRat, que são projetados para coletar informações confidenciais do usuário.
- APT-C-37, que tinha como alvo pessoas ligadas ao Exército Sírio Livre e militares afiliados às forças da oposição com um backdoor de mercadoria conhecido como SandroRAT e uma família de malware desenvolvida internamente chamada SSLove por meio de esquemas de engenharia social que enganavam as vítimas para que visitassem sites mascarados como Telegram, Facebook, YouTube e WhatsApp, além de conteúdo focado no Islã.
- Um grupo de hackers não identificado vinculado ao governo que teve como alvo grupos minoritários, ativistas, oposição no sul da Síria, jornalistas curdos e membros das Unidades de Proteção do Povo e da Defesa Civil da Síria, com a operação se manifestando na forma de ataques de engenharia social que envolveram o compartilhamento de links para sites que hospedam aplicativos com malware que imitam o WhatsApp e o YouTube, que instalam ferramentas de administração remota SpyNote e Spymax nos dispositivos.
“Para interromper esses grupos mal-intencionados, desativamos suas contas, bloqueamos a publicação de seus domínios em nossa plataforma, compartilhamos informações com nossos colegas do setor, pesquisadores de segurança e agentes da lei e alertamos as pessoas que acreditamos serem o alvo desses hackers”, Mike Dvilyanski da empresa de tecnologia social, chefe de investigações de espionagem cibernética, e David Agranovich, diretor de interrupção de ameaças, disseram.
