Facebook : un malware caché dans une vidéo porno infecte plus de 110 000 personnes

0
133

Une nouvelle menace informatique se propage sur Facebook depuis plusieurs jours, infectant plusieurs dizaines de milliers d’utilisateurs du réseau social. Le malware en question utilise une vidéo prétendument pornographique pour s’installer sur l’ordinateur des internautes ciblés.

Les cybercriminels ne sont jamais à court d’idées pour infecter le maximum de victimes potentielles. Cette fois, ils ont dissimulé leur malware dans faux lecteur Flash qui requiert une mise à jour tout aussi factice. Il faut souligner que cela est très bien joué de leur part étant donné le climat dans lequel se trouve Adobe Flash Player ces derniers jours, après qu’une troisième vulnérabilité zero-day ait été dévoilée…

Cela ressemble de très près au fameux scam des snapchats de stars nues qui a été utilisé il y a peu de temps par les cyber-escrocs.

Avant de cliquer sur la vidéo prétendument porno que vous conseille un “ami” sur Facebook, réfléchissez-y à deux fois. En effet, Mohammad Faghani, un chercheur en sécurité indépendant, a découvert que l’une des vidéos la plus virale du moment n’était autre que le vecteur de propagation d’un malware qui a déjà infecté plus de 110 000 membres du réseau social en deux jours !
 
La sonette d’alarme a été tirée par ce dernier via un mail sur Seclists à la fin du mois de janvier.

Compte tenu du nombre d’utilisateurs de Facebook, qui flirte avec le milliard et demi, on peut en déduire que le nombre de membres touchés est relativement faible. Néanmoins, c’est justement ce qui fait la force du logiciel malveillant selon Mohammad Faghani, qui explique que sa propagation se fait « en douceur ». A chaque fois que le malware touche une nouvelle personne, une publication sur le mur Facebook de cette dernière a lieu, et elle tague une vingtaine d’amis.

« Ce player est en fait le véhicule utilisé pour déposer le malware, explique le chercheur. Une fois dans votre PC, il permet de prendre le contrôle des mouvements de la souris et récupère les frappes sur le clavier. »

C’est relativement peu dans le premier cercle de contacts. Mais la démarche va également permettre aux amis des amis de voir la publication et de s’y intéresser, et d’éventuellement se faire piéger, pour répéter le cycle.

Reste que le piège en lui-même est assez simple à déceler pour un internaute alerte : lorsqu’on clique sur la vidéo, cette dernière commence par se lancer, avant de s’interrompre pour demander l’installation d’un nouveau lecteur Flash. C’est une fois que celle-ci est validée que le logiciel malveillant s’installe. Selon les premières observations, il permettrait aux pirates de prendre le contrôle du clavier et de la souris des machines infectées. De son côté, Facebook indique être en train de se pencher sur ce nouveau mode de propagation de malware par le biais des tags, qui arrive encore à passer les filets des systèmes de protection automatiques.

Éléments connus du malware à ce jour :

The MD5 of the executable file (fake flash player):
cdcc132fad2e819e7ab94e5e564e8968
The SHA1 of the executable file (fake flash player)
: b836facdde6c866db5ad3f582c86a7f99db09784
The fake flash file drops the following executables as it runs:
chromium.exe, wget.exe, arsiv.exe, verclsid.exe.

The malware is able to hijack keyboard and mouse movement (at initial
investigation)

Existence of the chromium.exe in the Windows processes, is an Indication of
Compromise (IoC). The malware tries to connect to the following network
upon execution:

www.filmver.com and www.pornokan.com