Anzeige

Facebook Hacker

Quelle: DANIEL CONSTANTE / Shutterstock.com

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888 RAT und SpyNote bekannt sind.

Mit diesen Profilen werden ausschließlich Kurden in ihrer Sprache angeschrieben. Insgesamt identifizierten die ESET-Forscher sechs Facebook-Profile, die Android-Spionage-Apps von der BladeHawk-Gruppe durchgeführten Kampagne verbreiteten. Über öffentliche Facebook-Gruppen haben die Konten die Ausspähprogramme in Umlauf gebracht. Hierbei wurden hauptsächlich Unterstützer von Masoud Barzani kontaktiert, dem ehemaligen Präsidenten der Region Kurdistan, einer autonomen Region im Nordirak. Insgesamt haben die betroffenen Facebook-Gruppen über 11.000 Anhänger. Die Analyse zu den Aktivitäten der BladeHawk-Gruppe ist auf WeliveSecurity verfügbar.

"Wir haben diese Profile an Facebook gemeldet und sie wurden alle entfernt. Zwei davon richteten sich an Tech-Nutzer, während die anderen vier sich als Kurden-Unterstützer ausgaben", sagt ESET-Forscher Lukás Stefanko, der die BladeHawk-Kampagne untersucht.

Facebook-Posts sollen zum Klick auf einen Link verleiten

ESET Research identifizierte 28 einzigartige Facebook-Posts als Teil der BladeHawk-Kampagne. Jeder dieser Posts enthielt gefälschte App-Beschreibungen und Links, von denen die ESET-Forscher 17 einzelne APKs herunterladen konnten. Einige der APK-Web-Links verwiesen direkt auf die bösartige App, während andere auf einen Drittanbieter-Upload-Dienst führten, der die Download-Anzahl registrierte. Allein hier wurden die Spionage-Apps 1.418mal heruntergeladen.

Die meisten der hinterhältigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, das seit 2018 auf dem Schwarzmarkt erhältlich ist. Die Spionage-App ist in der Lage, 42 Befehle auszuführen, die es von seinem Command-and-Control-Server (C&C) erhält. Es kann Dateien von einem Gerät stehlen und löschen, Screenshots erstellen, den Standort des Geräts ermitteln, Facebook-Anmeldedaten fälschen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Umgebungsgeräusche und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten sowie die Kontaktliste des Geräts stehlen und Textnachrichten senden.

Zusammenhang mit anderen Fällen

Diese von den ESET-Forschern entdeckte Spionageaktivität steht in direktem Zusammenhang mit zwei im Jahr 2020 öffentlich bekannt gewordenen Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter den Angriffen den Namen BladeHawk. Um Verwechslungen zu vermeiden, hat ESET die Bezeichnung übernommen. Beide Kampagnen wurden über Facebook verbreitet, wobei Malware verwendet wurde, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Alle eingesetzten Varianten der Schad-App nutzten dieselben C&C-Server.

Weitere technische Details zur jüngsten BladeHawk-Kampagne gibt es im Blogbeitrag auf WeLiveSecurity.

www.eset.com/de


Weitere Artikel

Phishing

DHL: die meist imitierte Marke bei Phishing-Versuchen

Der aktuelle Q4 Brand Phishing Report von Check Point Research zeigt auf, welche Marken am häufigsten von Hackern nachgeahmt wurden.
Phishing

Phishing-E-Mails werden immer raffinierter

KnowBe4, der Anbieter für Sicherheitsschulungen und Phishing-Simulationen, gibt die Ergebnisse seines Phishing-Berichts für das vierte Quartal 2021 bekannt.
Hacker

Gefahr durch Brand Impersonation und Ransomleaks wächst

Cyberkriminalität bleibt eine der größten Bedrohungen weltweit: Im neuen Cyber Threat Report Edition 2021/2022 veröffentlicht der E-Mail-Cloud-Security- und Backup-Provider Hornetsecurity die neusten Insights und Daten zur aktuellen Bedrohungslage mit Fokus…
Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, Vice President, Intelligence Analysis bei Mandiant, zu diesem Vorfall.
Cyberangriff

Noch vor Pandemie: Cyberangriffe die größte Gefahr für Unternehmen

Manager und Sicherheitsfachleute weltweit sehen in Cyberangriffen die größte Gefahr für Unternehmen. Im am Dienstag veröffentlichten «Risikobarometer» des zur Allianz gehörenden Industrieversicherers AGCS liegen kriminelle Hacker mit ihren Aktivitäten auf…
Windows

Über 3 Millionen unsichere Windows-PCs am Netz

In deutschen Haushalten gibt es rund 48 Millionen Computer, die mit dem Betriebssystem Windows laufen. Die Corona-Pandemie hat dazu geführt, dass Privatnutzer ihre Altgeräte erneuert und sogar mehr Geräte gekauft haben.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.