Três atores de ameaças diferentes aproveitaram centenas de personas fictícias elaboradas no Facebook e no Instagram para atingir indivíduos localizados no sul da Ásia como parte de ataques díspares.

“Cada um desses APTs dependia fortemente da engenharia social para enganar as pessoas a clicar em links maliciosos, baixar malware ou compartilhar informações pessoais na internet”, disse Guy Rosen, diretor de segurança da informação da Meta. “Esse investimento em engenharia social fez com que esses agentes de ameaças não precisassem investir tanto no lado do malware.”

As contas falsas, além de usarem iscas tradicionais, como mulheres em busca de uma conexão romântica, se disfarçavam de recrutadores, jornalistas ou militares.

Pelo menos dois dos esforços de espionagem cibernética envolveram o uso de malware de baixa sofisticação com recursos reduzidos, provavelmente em uma tentativa de superar as verificações de verificação de aplicativos estabelecidas pela Apple e pelo Google.

Um dos grupos que entrou no radar da Meta é um grupo de ameaças persistentes avançadas (APT) com sede no Paquistão que contava com uma rede de 120 contas no Facebook e Instagram e aplicativos e sites desonestos para infectar militares na Índia e entre a Força Aérea do Paquistão com o GravityRAT sob o disfarce de armazenamento em nuvem e aplicativos de entretenimento.

A gigante da tecnologia também extinguiu cerca de 110 contas no Facebook e no Instagram vinculadas a um APT identificado como Bahamut que tinha como alvo ativistas, funcionários do governo e militares na Índia e no Paquistão com malware Android publicado na Google Play Store. Os aplicativos, que se passavam por aplicativos de bate-papo seguro ou VPN, já foram removidos.

Por fim, expurgou 50 contas no Facebook e no Instagram ligadas a um agente de ameaças baseado na Índia chamado Patchwork, que se aproveitava de aplicativos maliciosos enviados para a Play Store para coletar dados de vítimas no Paquistão, Índia, Bangladesh, Sri Lanka, Tibete e China.

Também foram interrompidas pela meta seis redes adversárias dos EUA, Venezuela, Irã, China, Geórgia, Burkina Faso e Togo que se envolveram no que chamou de “comportamento inautêntico coordenado” no Facebook e em outras plataformas de mídia social como Twitter, Telegram, YouTube, Medium, TikTok, Blogspot, Reddit e WordPress.

Todas essas redes geograficamente dispersas teriam criado marcas de mídia fraudulentas, grupos hacktivistas e ONGs para construir credibilidade, com três delas ligadas a uma empresa de marketing com sede nos EUA chamada Predictvia, uma consultoria de marketing político no Togo conhecida como Groupe Panafricain pour le Commerce et l’Investissement (GPCI) e ao Departamento de Comunicações Estratégicas da Geórgia.

Duas redes originárias da China operavam dezenas de contas, páginas e grupos fraudulentos no Facebook e no Instagram para atingir usuários na Índia, Tibete, Taiwan, Japão e na comunidade uigur.

Em ambos os casos, a Meta disse que retirou as atividades antes que pudessem “construir uma audiência” em seus serviços, acrescentando que encontrou associações conectando uma rede a indivíduos associados a uma empresa chinesa de TI conhecida como Xi’an Tianwendian Network Technology.

A rede do Irã, de acordo com a gigante das redes sociais, destacou principalmente Israel, Bahrein e França, corroborando uma avaliação anterior da Microsoft sobre o envolvimento do Irã no ataque hacker à revista satírica francesa Charlie Hebdo em janeiro de 2023.

“As pessoas por trás dessa rede usaram contas falsas para postar, curtir e compartilhar seu próprio conteúdo para fazê-lo parecer mais popular do que era, bem como para gerenciar páginas e grupos se passando por equipes hacktivistas”, disse a Meta. “Eles também curtiram e compartilharam postagens de outras pessoas sobre tópicos de segurança cibernética, provavelmente fazendo com que contas falsas pareçam mais críveis.”

A divulgação também coincide com um novo relatório da Microsoft, que revelou que os atores alinhados ao Estado iraniano estão confiando cada vez mais em operações de influência habilitadas para cibersegurança para “impulsionar, exagerar ou compensar a deficiência em seu acesso à rede ou capacidades de ataque cibernético” desde junho de 2022.

O governo iraniano foi ligado por Redmond a 24 operações desse tipo em 2022, contra sete em 2021, incluindo clusters rastreados como Moses Staff, Homeland Justice, Abraham’s Ax, Holy Souls e DarkBit. Dezessete das operações ocorreram desde junho de 2022.

A fabricante do Windows disse ainda que observou “vários atores iranianos tentando usar mensagens SMS em massa em três casos no segundo semestre de 2022, provavelmente para aumentar a amplificação e os efeitos psicológicos de suas operações de influência cibernética”.

A mudança nas táticas também é caracterizada pela rápida exploração de falhas de segurança conhecidas, uso de sites de vítimas para comando e controle e adoção de implantes sob medida para evitar a detecção e roubar informações das vítimas.

As operações, que apontaram Israel e os EUA como uma retaliação por supostamente fomentar distúrbios no país, buscaram reforçar a resistência palestina, instigar distúrbios no Bahrein e combater a normalização das relações árabe-israelenses.

Fonte: Meta Uncovers Massive Social Media Cyber Espionage Operations Across South Asia (thehackernews.com)

Se você precisa de ajuda para avaliar e/ou elevar o seu nível de segurança, entre em contato com a 4Security, teremos prazer em direcionar um especialista para lhe atender.