Eksperci z firmy ESET odkryli zagrożenie atakujące mieszkańców Libii, które działa co najmniej od 2012 roku, co zbiega się z czasem śmierci Mu’ammara al-Kaddafi’ego i konfliktem wewnętrznym w Libii. Złośliwy plik stosowany jest m.in. do przeprowadzania ataków ukierunkowanych. Zagrożenie nie jest rozprzestrzeniane w żaden zaawansowany sposób – najczęściej ofiary wabione są na zainfekowane strony rządowe za pomocą postów w mediach społecznościowych.
Celem zagrożenia jest szpiegowanie obywateli – może zapisywać klawisze naciskane na klawiaturze, podsłuchiwać ofiarę i wykonywać jej zdjęcia.
Atakujący publikują posty na Facebooku lub tweety z linkami prowadzącymi do zainfekowanych stron. Jeden z takich postów z 2013 roku informuje, że premier Libii został złapany (dwa razy, ostatni raz w bibliotece). W wiadomości znajduje się również link prowadzący na zainfekowaną w tamtym czasie stronę internetową rządu. Podobny link znajdował się w tweecie z 2014 roku rzekomo napisanym przez Sajfa al-Islam al-Kaddafi’ego – syna Mu’ammara al-Kaddafi’ego, obalonego libijskiego dyktatora.
Oprócz kampanii prowadzonych w mediach społecznościowych, atakujący wysyłają również maile z zainfekowanymi załącznikami. Aby nakłonić ofiarę do kliknięcia w załącznik, stosują sztuczki socjotechniczne – załączniki wyglądem przypominają pliki Word lub PDF. W niektórych przypadkach, złośliwe oprogramowanie może nawet wyświetlić oczekiwany przez ofiarę dokument.
– Wspomniane zagrożenie to klasyczny trojan kradnący informacje, który może być wykorzystywany w różnych konfiguracjach. Wersja posiadająca wszystkie funkcjonalności potrafi zapisywać naciskane klawisze na klawiaturze, kraść pliki z profili przechowywanych w przeglądarkach Mozilla Firefox i Google Chrome, nagrywać dźwięk z mikrofonu, wykonywać zrzuty ekranu, a także robić zdjęcia za pomocą wbudowanej kamery. Zbiera także informacje o zainstalowanej wersji systemu operacyjnego i programu antywirusowego. W niektórych przypadkach złośliwe oprogramowanie może pobrać i uruchomić narzędzia do odzyskiwania haseł, aby wydobyć hasła z zainstalowanych aplikacji – opisuje możliwości zagrożenia szpiegującego Kamil Sadkowski, analityk zagrożeń z firmy ESET.
Większość analizowanych próbek tego złośliwego oprogramowania używa protokołu SMTP, aby zebrane informacje przesłać na określone adresy email. Alternatywnie, szkodliwe oprogramowanie może przesyłać skradzione informacje bezpośrednio do serwera zarządzającego przy wykorzystaniu komunikacji HTTP. Analitycy z firmy ESET podejrzewają, że złośliwe oprogramowanie jest wykorzystywane wyłącznie przez jedną osobę lub jedną grupę osób, ponieważ kod w większości próbek zawiera ten sam adres docelowy.