Facebook : un virus déguisé en image se répand par la messagerie
Une nouvelle vague de chevaux de Troie vise spécifiquement les utilisateurs du réseau social Facebook. Il utilise des méthodes éculées, mais mises à la sauce sociale. Qui les rendent d’autant plus « virales » .
L’éditeur de la suite de sécurité éponyme G Data alerte d’une nouvelle vague d’attaques sur Facebook. Cette fois, c’est par la messagerie du réseau social que les cybercriminels tentent de propager leurs méfaits.
Par chance, les messages accrocheurs (type « C’est toi sur la photo ? » ) sont rédigés en anglais. De quoi éveiller les soupçons des utilisateurs francophones, même si la langue de Shakespeare est particulièrement courante sur le Net.
Déroulement de l’infection : l’utilisateur reçoit un message, d’un inconnu ou de l’un de ses amis (s’il a lui même été infecté), l’invitant à afficher la photo jointe au nom trompeur (type IMG6224).
Cette dernière n’est qu’un leurre qui dissimule un fichier exécutable (IMG6224.exe lorsque l’on active l’affichage des extensions).
Cliquer sur le lien pointant vers ce fichier lance l’exécution d’un programme qui, tout en affichant un message signalant que l’image en question ne peut pas être affichée afin de ne pas éveiller la méfiance de la victime, lance le téléchargement, en arrière plan, d’un cheval de Troie.
Lequel, une fois installé sur le PC de la victime, s’empresse d’ouvrir un canal IRC par l’intermédiaire duquel il s’empresse de télécharger d’autres fichiers.
Dont le premier, GoogleTool.exe, n’est autre qu’un autre Trojan (Trojan.Generic.KDV.320671) qui reçoit un fichier texte (url.txt) bourré d’URL plus récentes menant vers de nouvelles « images » (d’autres fichiers infectieux).
En parallèle, le programme investit Internet Explorer afin d’y dérober la liste des contacts Facebook de l’utilisateur qui formeront la base d’autant d’autres victimes potentielles.
G Data ne précise cependant pas si le navigateur de Microsoft est le seul visé où bien si l’attaque fonctionne avec tous les navigateurs du marché.
G Data n’a pas réussi à mettre la main sur un des fichiers exécutables infectieux automatiquement téléchargé faute d’un domaine d’hébergement encore actif.
« Les pirates informatiques ont utilisés différents sites légitimes compromis pour héberger les fichiers » indique l’éditeur.
Du coup, pas de dégâts majeurs à signaler pour le moment. Mais la propagation pourrait s’enflammer comme une traînée de poudre auprès des 750 millions d’utilisateurs de Facebook.
Et G Data prévient que « les logiciels malveillants téléchargés peuvent être pratiquement n’importe quoi, comme un cheval de Troie bancaires en ligne, des keyloggers, spywares, backdoors… tout ! »
« Et même si la méthodes d’infecter un ordinateur par l’envoi d’un téléchargeur n’est pas nouvelle, l’impact dans un réseau social de plus de 750 millions d’utilisateurs actifs peut être énorme. Alors, attention et restez vigilant ! » Met-il aussi en garde.
Parmi ses recommandations, l’éditeur rappelle, de ne pas cliquer aveuglément sur les fichiers joints, surtout en provenance d’un inconnu.
Mais aussi de toujours afficher l’extension des fichiers dans Windows (Mac OS et Linux ne sont pas directement concernés) ainsi que de vérifier l’origine du lien derrière les URL courtes.
Deux façon de le faire : soit en utilisant un service tel que LongURL.org, soit en ajoutant un « + » au bout de l’URL courte dans la barre d’adresse du navigateur.
Enfin, tenir son système à jour et se protéger avec des outils de sécurité… comme ceux de G Data.