Metaplattformen hat berichtet, dass gegen acht Unternehmen aus Italien, Spanien und den Vereinigten Arabischen Emiraten vorgegangen wird, die daran beteiligt sind Sektor der Auftragsüberwachung. Diese Informationen sind Teil ihrer Bericht über gegnerische Bedrohungen für das vierte Quartal 2023. Einem Bericht in Hacker News zufolge zielte die von diesen Unternehmen verwendete Spyware auf iPhones, Android- und Windows-Geräte ab.
Die von ihnen verwendete Malware war in der Lage, Informationen von Geräten zu sammeln und darauf zuzugreifen, darunter Standort, Fotos, Medien, Kontakte, Kalender, E-Mail, SMS, soziale Medien und Messaging-Apps. Sie konnte auch Funktionen für Mikrofone, Kameras und Screenshots ermöglichen.
Die beteiligten Unternehmen sind:
* Cy4Gate/ELT-Gruppe
* RCS Labs
* IPS-Intelligenz
* Variston IT
* Echte IT
* Schützen Sie elektronische Systeme
* Negg-Gruppe
* Mollitiam Industries
Gezielte Nutzer auf Facebook, Instagram, YouTube, Google, Skype und anderen Plattformen
Laut Meta beteiligten sich diese Unternehmen auch an Scraping-, Social Engineering- und Phishing-Aktivitäten, die auf verschiedene Plattformen abzielten, darunter Facebook, Instagram, X (früher Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch und Telegram.
Insbesondere soll ein Netzwerk gefälschter Personas, das mit RCS Labs im Besitz von Cy4Gate verbunden ist, Benutzer dazu verleitet haben, ihre Telefonnummern und E-Mail-Adressen anzugeben und zu Aufklärungszwecken auf betrügerische Links zu klicken.
Eine weitere Gruppe von Facebook- und Instagram-Konten, die inzwischen entfernt und mit dem italienischen Spyware-Anbieter Variston IT verknüpft wurden, wurde für die Entwicklung und das Testen von Exploits verwendet, einschließlich der Weitergabe schädlicher Links. Jüngste Berichte deuten darauf hin, dass dieses Unternehmen seinen Betrieb einstellt.
Meta identifizierte auch Konten, die von der Negg Group zum Testen ihrer Spyware-Verbreitung verwendet wurden, und von Mollitiam Industries, einem spanischen Unternehmen, das einen Datenerfassungsdienst und Spyware für Windows, macOS und Android zum Scraping öffentlicher Informationen anbietet.
Von Hackern verwendete Technik
Im Bereich der Cybersicherheit ist die genaue Methode noch unklar, aber ein schwedisches Telekommunikationssicherheitsunternehmen vermutet, dass es sich dabei um die Verwendung von MM1_notification.REQ handelt, einer einzigartigen Art von SMS-Nachricht, die als binäre SMS bekannt ist. Diese Nachricht benachrichtigt das Empfängergerät über eine MMS, die darauf wartet, vom Multimedia Messaging Service Center (MMSC) abgerufen zu werden.
Die MMS wird dann mithilfe von MM1_retrieve.REQ und MM1_retrieve.RES abgerufen, wobei ersteres eine HTTP-GET-Anfrage an die URL-Adresse ist, die in der MM1_notification.REQ-Nachricht enthalten ist.
Dieser Ansatz ist bemerkenswert, weil er Benutzergeräteinformationen wie User-Agent (anders als ein User-Agent-String im Webbrowser) und x-wap-profile in die GET-Anfrage einbettet und als eine Art Fingerabdruck dient.
„Der (MMS) User-Agent ist eine Zeichenfolge, die normalerweise das Betriebssystem und das Gerät identifiziert“, sagte Enea. „x-wap-profile verweist auf eine UAProf-Datei (User Agent Profile), die die Fähigkeiten eines Mobiltelefons beschreibt.“
Ein Bedrohungsakteur, der Spyware einsetzen möchte, könnte diese Informationen nutzen, um bestimmte Schwachstellen auszunutzen, seine bösartigen Payloads auf das Zielgerät abzustimmen oder sogar effektivere Phishing-Kampagnen zu erstellen. Es gibt jedoch keine Hinweise darauf, dass diese Sicherheitslücke in letzter Zeit ausgenutzt wurde.
Die von ihnen verwendete Malware war in der Lage, Informationen von Geräten zu sammeln und darauf zuzugreifen, darunter Standort, Fotos, Medien, Kontakte, Kalender, E-Mail, SMS, soziale Medien und Messaging-Apps. Sie konnte auch Funktionen für Mikrofone, Kameras und Screenshots ermöglichen.
Die beteiligten Unternehmen sind:
* Cy4Gate/ELT-Gruppe
* RCS Labs
* IPS-Intelligenz
* Variston IT
* Echte IT
* Schützen Sie elektronische Systeme
* Negg-Gruppe
* Mollitiam Industries
Gezielte Nutzer auf Facebook, Instagram, YouTube, Google, Skype und anderen Plattformen
Laut Meta beteiligten sich diese Unternehmen auch an Scraping-, Social Engineering- und Phishing-Aktivitäten, die auf verschiedene Plattformen abzielten, darunter Facebook, Instagram, X (früher Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch und Telegram.
Insbesondere soll ein Netzwerk gefälschter Personas, das mit RCS Labs im Besitz von Cy4Gate verbunden ist, Benutzer dazu verleitet haben, ihre Telefonnummern und E-Mail-Adressen anzugeben und zu Aufklärungszwecken auf betrügerische Links zu klicken.
Eine weitere Gruppe von Facebook- und Instagram-Konten, die inzwischen entfernt und mit dem italienischen Spyware-Anbieter Variston IT verknüpft wurden, wurde für die Entwicklung und das Testen von Exploits verwendet, einschließlich der Weitergabe schädlicher Links. Jüngste Berichte deuten darauf hin, dass dieses Unternehmen seinen Betrieb einstellt.
Meta identifizierte auch Konten, die von der Negg Group zum Testen ihrer Spyware-Verbreitung verwendet wurden, und von Mollitiam Industries, einem spanischen Unternehmen, das einen Datenerfassungsdienst und Spyware für Windows, macOS und Android zum Scraping öffentlicher Informationen anbietet.
Von Hackern verwendete Technik
Im Bereich der Cybersicherheit ist die genaue Methode noch unklar, aber ein schwedisches Telekommunikationssicherheitsunternehmen vermutet, dass es sich dabei um die Verwendung von MM1_notification.REQ handelt, einer einzigartigen Art von SMS-Nachricht, die als binäre SMS bekannt ist. Diese Nachricht benachrichtigt das Empfängergerät über eine MMS, die darauf wartet, vom Multimedia Messaging Service Center (MMSC) abgerufen zu werden.
Die MMS wird dann mithilfe von MM1_retrieve.REQ und MM1_retrieve.RES abgerufen, wobei ersteres eine HTTP-GET-Anfrage an die URL-Adresse ist, die in der MM1_notification.REQ-Nachricht enthalten ist.
Dieser Ansatz ist bemerkenswert, weil er Benutzergeräteinformationen wie User-Agent (anders als ein User-Agent-String im Webbrowser) und x-wap-profile in die GET-Anfrage einbettet und als eine Art Fingerabdruck dient.
„Der (MMS) User-Agent ist eine Zeichenfolge, die normalerweise das Betriebssystem und das Gerät identifiziert“, sagte Enea. „x-wap-profile verweist auf eine UAProf-Datei (User Agent Profile), die die Fähigkeiten eines Mobiltelefons beschreibt.“
Ein Bedrohungsakteur, der Spyware einsetzen möchte, könnte diese Informationen nutzen, um bestimmte Schwachstellen auszunutzen, seine bösartigen Payloads auf das Zielgerät abzustimmen oder sogar effektivere Phishing-Kampagnen zu erstellen. Es gibt jedoch keine Hinweise darauf, dass diese Sicherheitslücke in letzter Zeit ausgenutzt wurde.