Meta, la société anciennement connue sous le nom de Facebook, annoncé Mardi, il a pris des mesures contre quatre cybergroupes malveillants distincts du Pakistan et de la Syrie qui visaient des personnes en Afghanistan, ainsi que des journalistes, des organisations humanitaires et des forces militaires anti-régime dans ce pays d’Asie occidentale.

L’acteur pakistanais de la menace, surnommé SideCopy, aurait utilisé la plate-forme pour distinguer les personnes ayant des liens avec le gouvernement afghan, l’armée et les forces de l’ordre à Kaboul.

La campagne, que Meta a qualifiée d' »opération bien fournie et persistante », impliquait l’envoi de liens malveillants, souvent raccourcis à l’aide de services de raccourcissement d’URL, vers des sites Web hébergeant des logiciels malveillants entre avril et août 2021, avec les opérateurs se faisant passer pour de jeunes femmes et trompant les destinataires avec des leurres romantiques dans le but de les faire cliquer sur des liens de phishing ou de télécharger des applications de chat trojanisées.

Les analystes du renseignement sur les menaces de Meta ont déclaré que ces applications étaient une façade pour deux souches de logiciels malveillants distinctes, un cheval de Troie d’accès à distance nommé PJobRAT, qui a été précédemment trouvé ciblant les forces militaires indiennes, et un implant auparavant non documenté surnommé Mayhem qui est capable de récupérer des listes de contacts, des messages texte, des journaux d’appels, des informations de localisation, des fichiers multimédias, des métadonnées de l’appareil, et même de gratter le contenu sur l’écran de l’appareil en abusant services d’accessibilité.

Parmi les autres tactiques de SideCopy, le groupe de pirates s’est livré à un certain nombre d’activités néfastes, notamment l’exploitation de magasins d’applications malveillants, compromettant des sites Web légitimes pour héberger des pages de phishing malveillantes conçues pour manipuler les gens afin qu’ils abandonnent leurs informations d’identification Facebook. Le groupe a été purgé de Facebook en août.

En outre, Meta a également déclaré avoir perturbé trois réseaux de piratage liés au gouvernement syrien et en particulier aux services de renseignement de l’armée de l’air syrienne –

• Armée électronique syrienne alias APT-C-27, qui ciblait des organisations humanitaires, des journalistes et des militants du sud de la Syrie, des critiques du gouvernement et des individus associés à l’Armée syrienne libre anti-régime avec des liens de phishing pour diffuser un mélange de logiciels malveillants disponibles dans le commerce et personnalisés tels que njRAT et HmzaRat qui sont conçus pour récolter des informations utilisateur sensibles.

• APT-C-37, qui ciblait des personnes liées à l’Armée syrienne libre et au personnel militaire affilié aux forces de l’opposition avec une porte dérobée connue sous le nom de SandroRAT et une famille de logiciels malveillants développée en interne appelée SSLove via des programmes d’ingénierie sociale qui ont incité les victimes à visiter des sites Web se faisant passer pour Telegram, Facebook, YouTube et WhatsApp ainsi que du contenu axé sur l’islam.

• Un gouvernement lié groupe de piratage sans nom qui ciblait des groupes minoritaires, des militants, l’opposition dans le sud de la Syrie, des journalistes kurdes et des membres des unités de protection du peuple et de la défense civile syrienne, l’opération se manifestant sous la forme d’attaques d’ingénierie sociale impliquant le partage de liens vers des sites Web hébergeant des applications malveillantes imitant WhatsApp et YouTube qui ont installé les outils d’administration à distance SpyNote et Spymax sur les appareils.

« Pour perturber ces groupes malveillants, nous avons désactivé leurs comptes, bloqué la publication de leurs domaines sur notre plate-forme, partagé des informations avec nos pairs du secteur, des chercheurs en sécurité et les forces de l’ordre, et alerté les personnes qui, selon nous, étaient ciblées par ces pirates », a-t-il ajouté. Mike Dvilyanski, responsable des enquêtes sur le cyberespionnage, de la société de technologie sociale, et David Agranovich, directeur de la perturbation des menaces, ont déclaré.