La société mère de Facebook, Meta, a révélé qu’elle avait pris des mesures contre deux opérations d’espionnage en Asie du Sud qui ont tiré parti de ses plateformes de médias sociaux pour distribuer des logiciels malveillants à des cibles potentielles.
Le premier ensemble d’activités est ce que la société a décrit comme « persistant et doté de ressources suffisantes » et entrepris par un groupe de piratage suivi sous le nom de Bitter APT (alias APT-C-08 ou T-APT-17) ciblant des individus en Nouvelle-Zélande, Inde, Pakistan et Royaume-Uni
« Bitter a utilisé diverses tactiques malveillantes pour cibler les personnes en ligne avec de l’ingénierie sociale et infecter leurs appareils avec des logiciels malveillants », a déclaré Meta a dit dans son rapport trimestriel sur les menaces contradictoires. « Ils ont utilisé un mélange de services de raccourcissement de liens, de domaines malveillants, de sites Web compromis et de fournisseurs d’hébergement tiers pour distribuer leurs logiciels malveillants. »
Les attaques impliquaient que l’acteur de la menace créait des personnages fictifs sur la plate-forme, se faisant passer pour de jolies jeunes femmes dans le but d’établir la confiance avec des cibles et de les inciter à cliquer sur de faux liens qui déployaient des logiciels malveillants.
Mais dans une tournure intéressante, les attaquants ont convaincu les victimes de télécharger une application de chat iOS via Apple Vol d’essaiun service en ligne légitime qui peut être utilisé pour tester des applications bêta et fournir des commentaires aux développeurs d’applications.
« Cela signifiait que les pirates n’avaient pas besoin de s’appuyer sur des exploits pour fournir des logiciels malveillants personnalisés aux cibles et pouvaient utiliser les services officiels d’Apple pour distribuer l’application dans le but de la rendre plus légitime, tant qu’ils convainquaient les gens de télécharger Apple Testflight et les a amenés à installer leur application de chat », ont déclaré les chercheurs.
Bien que la fonctionnalité exacte de l’application soit inconnue, elle est soupçonnée d’avoir été utilisée comme stratagème d’ingénierie sociale comme moyen de surveiller les victimes de la campagne via un moyen de discussion orchestré à cette fin.
De plus, les opérateurs de Bitter APT ont utilisé un malware Android précédemment non documenté appelé Dracarys, qui abuse des autorisations d’accessibilité du système d’exploitation pour installer des applications arbitraires, enregistrer de l’audio, capturer des photos et récolter des données sensibles à partir des téléphones infectés tels que les journaux d’appels, les contacts, les fichiers, messages texte, géolocalisation et informations sur l’appareil.
Dracarys a été livré via des applications de compte-gouttes trojanisées se faisant passer pour YouTube, Signal, Telegram et WhatsApp, poursuivant la tendance des attaquants à déployer de plus en plus de logiciels malveillants déguisés en logiciels légitimes pour pénétrer dans les appareils mobiles.
En outre, dans un signe d’adaptation contradictoire, Meta a noté que le groupe a contré ses efforts de détection et de blocage en publiant des liens brisés ou des images de liens malveillants sur les fils de discussion, obligeant les destinataires à saisir le lien dans leur navigateur.
Les origines de Bitter sont en quelque sorte un casse-tête, avec peu d’indicateurs disponibles pour établir un lien concluant avec un pays spécifique. On pense qu’il opère à partir de l’Asie du Sud et qu’il s’est récemment concentré sur la frappe d’entités militaires au Bangladesh.
Meta sévit contre Transparent Tribe
Le deuxième collectif à être perturbé par Meta est Transparent Tribe (alias APT36), une menace persistante avancée qui serait basée au Pakistan et qui a l’habitude de cibler des agences gouvernementales en Inde et en Afghanistan avec des outils malveillants sur mesure.
Le mois dernier, Cisco Talos a attribué l’acteur à une campagne de phishing en cours ciblant les étudiants de divers établissements d’enseignement en Inde, marquant une rupture avec son schéma de victimologie typique pour inclure les utilisateurs civils.
La dernière série d’intrusions suggère une fusion, ayant ciblé le personnel militaire, les responsables gouvernementaux, les employés des droits de l’homme et d’autres organisations à but non lucratif, et les étudiants situés en Afghanistan, en Inde, au Pakistan, en Arabie saoudite et aux Émirats arabes unis.
Les cibles ont été conçues socialement à l’aide de fausses personnalités en se faisant passer pour des recruteurs pour des entreprises légitimes et fausses, du personnel militaire ou de jeunes femmes attirantes cherchant à établir une relation amoureuse, les incitant finalement à ouvrir des liens hébergeant des logiciels malveillants.
Les fichiers téléchargés contenaient LazaSpy, une version modifiée d’un logiciel de surveillance Android open source appelé XploitSPYtout en utilisant également des applications de clonage non officielles de WhatsApp, WeChat et YouTube pour diffuser un autre logiciel malveillant connu sous le nom de Mobzsar (alias CapraSpy).
Les deux logiciels malveillants sont dotés de fonctionnalités permettant de collecter les journaux d’appels, les contacts, les fichiers, les messages texte, la géolocalisation, les informations sur l’appareil et les photos, ainsi que d’activer le microphone de l’appareil, ce qui en fait des outils de surveillance efficaces.
« Cet acteur de la menace est un bon exemple d’une tendance mondiale […] où les groupes peu sophistiqués choisissent de s’appuyer sur des outils malveillants librement disponibles, plutôt que d’investir dans le développement ou l’achat de capacités offensives sophistiquées », ont déclaré les chercheurs.
Ces « outils de base à faible coût […] nécessitent moins d’expertise technique pour se déployer, mais donnent néanmoins des résultats pour les attaquants », a déclaré la société, ajoutant qu’elle « démocratise l’accès aux capacités de piratage et de surveillance à mesure que la barrière à l’entrée devient plus faible ».