Tres actores de amenazas diferentes aprovecharon cientos de personas ficticias elaboradas en Facebook e Instagram para apuntar a personas ubicadas en el sur de Asia como parte de ataques dispares.
«Cada uno de estos APT se basó en gran medida en la ingeniería social para engañar a las personas para que hicieran clic en enlaces maliciosos, descargaran malware o compartieran información personal a través de Internet», dijo Guy Rosen, director de seguridad de la información de Meta. dicho. «Esta inversión en ingeniería social significó que estos actores de amenazas no tuvieron que invertir tanto en el lado del malware».
Las cuentas falsas, además de utilizar señuelos tradicionales como mujeres que buscan una conexión romántica, se hacen pasar por reclutadores, periodistas o militares.
Al menos dos de los esfuerzos de espionaje cibernético implicó el uso de malware de baja sofisticación con capacidades reducidas, probablemente en un intento de pasar los controles de verificación de aplicaciones establecidos por Apple y Google.
Uno de los grupos que estuvo bajo el radar de Meta es un grupo de amenazas persistentes avanzadas (APT) con sede en Pakistán que se basó en una red de 120 cuentas en Facebook e Instagram y aplicaciones y sitios web no autorizados para infectar al personal militar en India y entre la Fuerza Aérea de Pakistán. con GravityRAT bajo la apariencia de almacenamiento en la nube y aplicaciones de entretenimiento.
El gigante tecnológico también eliminó alrededor de 110 cuentas en Facebook e Instagram vinculadas a una APT identificada como Bahamut que se dirigía a activistas, empleados gubernamentales y personal militar en India y Pakistán con malware para Android publicado en Google Play Store. Las aplicaciones, que se hacían pasar por chat seguro o aplicaciones VPN, se han eliminado desde entonces.
Por último, eliminó 50 cuentas en Facebook e Instagram vinculadas a un actor de amenazas con sede en India llamado Patchwork, que aprovechó las aplicaciones maliciosas cargadas en Play Store para recopilar datos de víctimas en Pakistán, India, Bangladesh, Sri Lanka, Tíbet y Porcelana.
También se ven interrumpidas por el meta seis redes adversarias de EE. UU., Venezuela, Irán, China, Georgia, Burkina Faso y Togo que se involucraron en lo que llamó «comportamiento inauténtico coordinado» en Facebook y otras plataformas de redes sociales como Twitter, Telegram, YouTube, Medio, TikTok, Blogspot, Reddit y WordPress.
Se dice que todas estas redes dispersas geográficamente establecieron marcas de medios de comunicación fraudulentas, grupos de hacktivistas y ONG para generar credibilidad, con tres de ellos vinculados a una empresa de marketing con sede en EE. UU. llamada Predictvia, una consultoría de marketing político en Togo conocida como Groupe. Panafricain pour le Commerce et l’Investissement (GPCI), y el Departamento de Comunicaciones Estratégicas de Georgia.
Dos redes que se originaron en China operaron docenas de cuentas, páginas y grupos fraudulentos en Facebook e Instagram para dirigirse a usuarios en India, Tíbet, Taiwán, Japón y la comunidad uigur.
En ambos casos, Meta dijo que eliminó las actividades antes de que pudieran «crear una audiencia» en sus servicios, y agregó que encontró asociaciones que conectaban una red con personas asociadas con una empresa china de TI conocida como Xi’an Tianwendian Network Technology.
La red de Irán, según el gigante de las redes sociales, destacó principalmente a Israel, Bahrein y Francia, lo que corrobora una evaluación anterior de Microsoft sobre la participación de Irán en el hackeo de la revista satírica francesa Charlie Hebdo en enero de 2023.
“La gente detrás de esta red usó cuentas falsas para publicar, dar me gusta y compartir su propio contenido para que pareciera más popular de lo que era, así como para administrar páginas y grupos que se hacían pasar por equipos de hacktivistas”, dijo Meta. «También les gustaron y compartieron las publicaciones de otras personas sobre temas de seguridad cibernética, lo que probablemente haga que las cuentas falsas parezcan más creíbles».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
La revelación también coincide con una nuevo reporte de Microsoft, que reveló que los actores alineados con el estado iraní confían cada vez más en las operaciones de influencia habilitadas cibernéticamente para «impulsar, exagerar o compensar las deficiencias en su acceso a la red o capacidades de ataque cibernético» desde junio de 2022.
Redmond ha vinculado al gobierno iraní con 24 operaciones de este tipo en 2022, frente a las siete de 2021, incluidos grupos rastreados como Moses Staff, Homeland Justice, Abraham’s Axe, Holy Souls y DarkBit. Diecisiete de las operaciones se han producido desde junio de 2022.
El fabricante de Windows dijo además que observó que «múltiples actores iraníes intentaron usar mensajes SMS masivos en tres casos en la segunda mitad de 2022, probablemente para mejorar la amplificación y los efectos psicológicos de sus operaciones de influencia cibernética».
El cambio de táctica también se caracteriza por la rápida explotación de fallas de seguridad conocidas, el uso de sitios web de víctimas para el mando y control y la adopción de implantes a medida para evitar la detección y robar información de las víctimas.
Las operaciones, que han señalado a Israel y EE. UU. como represalia por supuestamente fomentar el malestar en la nación, han buscado reforzar la resistencia palestina, instigar disturbios en Bahrein y contrarrestar la normalización de las relaciones árabe-israelíes.