Meta, una empresa anteriormente conocida como Facebook, anunció el martes que había tomado medidas contra cuatro grupos cibernéticos insidiosos separados en Pakistán y Siria que tenían como objetivo a personas en Afganistán, así como a periodistas, organizaciones humanitarias y fuerzas militares contrarias al régimen en Occidente. Pais asiatico.

El actor de amenazas paquistaní, apodado SideCopy, supuestamente usó la plataforma para identificar a personas vinculadas al gobierno afgano, las fuerzas armadas y las fuerzas del orden en Kabul.

La campaña, que Meta calificó como una «operación continua y bien segura», implicó el envío de enlaces maliciosos, a menudo truncados por servicios de truncamiento de URL, a sitios de alojamiento de malware entre abril y agosto de 2021, haciéndose pasar por mujeres jóvenes y estafadores. destinatarios con señuelos románticos en un esfuerzo por lograr que hagan clic en enlaces de phishing o descarguen aplicaciones de chat con troyanos.

Los analistas de metaamenazas dijeron que las aplicaciones eran una tapadera para dos tipos diferentes de malware, un troyano de acceso remoto llamado PJobRAT, que se encontró previamente dirigido a las fuerzas militares indias, y un implante previamente no documentado llamado Mayhem, que puede recuperar listas de contactos, mensajes de texto, llamadas. registros, información de ubicación, archivos multimedia, metadatos del dispositivo e incluso raspado de contenido en la pantalla del dispositivo abusando de los servicios de accesibilidad.

Otras tácticas de SideCopy involucraron al pirata informático en una serie de actividades atroces, incluida la ejecución de tiendas de aplicaciones no autorizadas, el compromiso de sitios web legítimos para albergar sitios de phishing maliciosos que fueron diseñados para manipular a las personas para que renuncien a sus credenciales de Facebook. El grupo fue eliminado de Facebook en agosto.

Además, Meta también declaró que había interrumpido tres redes de piratas informáticos vinculadas al gobierno sirio y específicamente al Servicio de Inteligencia de la Fuerza Aérea Siria:

• Ejército electrónico sirio también conocido como APT-C-27, que se dirigió a organizaciones humanitarias, periodistas y activistas en el sur de Siria, críticas gubernamentales e individuales vinculadas al Ejército Sirio Libre contra el régimen a través de enlaces de phishing para entregar una combinación de malware disponible comercialmente y patentado como njRAT y HmzaRat , que están diseñados para recopilar información confidencial del usuario.

• APT-C-37apuntando a personas vinculadas al Ejército Libre Sirio y personal militar vinculado a las fuerzas de la oposición con puertas traseras conocidas como SandroRAT y su propio grupo de malware llamado SSLove a través de esquemas de ingeniería social, que obligaron a las víctimas a visitar sitios web disfrazados de Telegram, Facebook, YouTube y WhatsApp y también contenido centrado en el Islam.

• Conectado con el gobierno grupo de hackers sin nombre dirigida a grupos minoritarios, activistas, la oposición en el sur de Siria, periodistas kurdos y miembros de las fuerzas de Defensa del Pueblo y de Defensa Civil de Siria, la operación tomó la forma de ataques de ingeniería social que implicaron compartir enlaces a sitios web que albergan aplicaciones que imitan a WhatsApp y YouTube, que instaló las herramientas de administración remota SpyNote y Spymax en el dispositivo.

«Para interrumpir a estos grupos insidiosos, desactivamos sus cuentas, bloqueamos la publicación de sus dominios en nuestra plataforma, compartimos información con nuestros colegas de la industria, investigadores de seguridad y agencias de aplicación de la ley, y alertamos a las personas que creemos que eran el objetivo de estos piratas informáticos». Mike Dvilyanski, de una empresa de tecnología social, jefe de investigaciones de ciberespionaje, y David Agranovich, director de gestión de amenazas.