La messagerie instantanée de Facebook vecteur d'attaque

Par:
fredericmazue

jeu, 18/08/2011 - 13:55

D'après l'éditeur de sécurité GData, une vague d'attaques via Facebook est en cours depuis quelques jours. De nombreux utilisateurs reçoivent d’un de leurs amis un message en anglais via la fonctionnalité de messagerie instantanée de Facebook les invitant à ouvrir une photo.

Les messages, tels que "hey is this your ex?? Lol" ou "omg you look so cute", poussent l'utilisateur visé par l'attaque à cliquer sur le lien communiqué et à télécharger le fichier. Mais le, matérialisé par une image dans le lien est en fait fichier est un exécutable.

Une fois que l'utilisateur a cliqué sur le lien, l’infection commence. Tout d’abord, afin de ne pas alerter sa victime, le programme génère une fenêtre stipulant que l’image n’a pas pu être affichée.

Mais en arrière-plan, il télécharge un trojan sur l'ordinateur qui ouvre une connexion avec un canal IRC. Il reçoit par ce biais des URL pour télécharger deux autres fichiers. L'un est appelé GoogleTool.exe (Trojan.Generic.KDV.320671) et le second killproc.exe. Le GoogleTool.exe reçoit lui-même un fichier appelé url.txt qui contient des URL plus récentes menant vers de nouvelles soi-disant "images". Ceci fait, le trojan s’introduit dans le navigateur Internet Explorer pour récupérer la liste d’utilisateurs Facebook de la victime et l’utilise pour propager les faux messages à l’ensemble de ses amis et ainsi de suite. Dans ce cas, les dommages sont limités puisque le code malveillant procède seulement à l’envoi de liens aux amis. Mais les attaquants peuvent échanger le malware téléchargé à tout moment afin de récupérer non pas les identifiants Facebook mais d’autres informations plus personnelles.