Alors qu'une faille zéro day vient d'être découverte dans le player Flash, une nouvelle infection se répand à travers Facebook, via un faux player Flash :-)

Le malware a été repéré par le chercheur en sécurité Mohammad Reza Faghani. Il en explique le fonctionnement sur seclists.org.

Des messages publiés dans les fils d'actualités de Facebook proposent de visionner une vidéo à caractère pornographique. La vidéo démarre, mais s'arrête rapidement - ô frustration - et demande de télécharger un player Flash pour pouvoir continuer. La frustration aidant, ce sont déjà 110 000 personnes qui se sont faites prendre au piège, selon Mohammad Reza Faghani.

Le player Flash est bien évidemment un faux. Il s'agit d'un malware qui dépose notamment d'autres malwares répondant aux noms de chromium.exe, wget.exe, arsiv.exe, verclsid.exe sur la machine attaquée. Un keylogger est également installé. (au minimum)

Selon le chercheur, qui donne les hash MD5 et SHA-1 du malware dans son billet explicatif, une machine infectée se reconnaît par le fait qu'y tourne un processus de nom de Chromium.exe.

Ce malware utilise en outre une nouvelle technique pour booster sa propagation : tagger dans un post une vingtaine de contacts d'une victime déjà infectée

Facebook, alerté sur ce problème, a répondu disposer de systèmes automatisés qui agissent pour stopper la propagation de malwares tels que celui-ci.