Il y a quelque temps, notre expert des antivirus de notre Équipe internationale de recherche et d’analyse (GReAT), David Jacoby, a découvert un malware multi-plateforme distribué via Facebook Messenger. Il y a quelques années, des épidémies similaires apparaissaient fréquemment, mais aucune ne s’était manifestée dernièrement, Facebook prévenant énormément ce type d’attaques.
Premièrement, un rapport préliminaire avait été publié. A cette époque, Jacoby n’avait pas assez de temps pour trouver plusieurs informations sur la façon dont les malwares opéraient. Les temps ont désormais changé et nous sommes disposés à vous faire partager ces informations.
- L’utilisateur recevait un message sur Facebook Messenger provenant d’un ami. Le message contenait le mot « Vidéo », le nom de l’expéditeur, un smiley aléatoire et un lien court. Voici à quoi il ressemblait :
- Le lien redirigeait vers Google Drive, où l’utilisateur voyait quelque chose qui ressemblait à un lecteur vidéo avec une image de l’expéditeur original en fond et ce qui ressemblait à un bouton de lecture.
- Si la victime essayait de lancer la « vidéo » sur Google Chrome, elle était redirigée vers une page qui ressemblait beaucoup à une page de YouTube et proposait d’installer une extension pour Chrome.
- Si l’utilisateur acceptait l’installation, l’extension commençait à envoyer des liens malveillants à ses amis et suivait le même algorithme pour chacun d’entre eux.
- Les utilisateurs d’autres navigateurs étaient constamment rappelés pour mettre à jour leur Adobe Flash Player au lieu de se voir proposer l’extension. Le fichier qu’ils avaient téléchargé était en réalité un adware, les malfaiteurs utilisaient essentiellement des publicités afin de détourner leur argent.
Jacoby, en partenariat avec Frans Rosen, un chercheur avec qui il avait travaillé sur un projet appelé « Chasser des bugs pour l’humanité« , ont analysé cette campagne malveillante et élaboré la façon dont elle opérait.
La page vers laquelle les utilisateurs étaient redirigés après avoir suivi le lien sur Facebook Messenger était un fichier PDF qui avait été publié sur Google Drive. Il s’ouvrait comme un aperçu. Le fichier disposait d’une photo provenant d’une page Facebook (l’utilisateur dont l’identité était utilisée pour diffuser le malware), une icône pour lire la vidéo affichée sur l’image, et le lien que la victime ouvrait en essayant de cliquer sur le bouton de lecture.
Le lien redirigeait les utilisateurs vers un ou plusieurs sites web. Les victimes qui utilisaient des navigateurs autres que Google Chrome finissaient sur un site web qui proposait de télécharger des adwares se faisant passer pour une mise à jour d’Adobe Flash Player.
Dans le cas de Chrome, il ne s’agissait que d’un début : si la victime acceptait d’installer l’extension proposée sur la landing page, elle surveillait quels sites web l’utilisateur ouvrait. A partir du moment où la victime naviguait sur Facebook, l’extension volait ses données d’identification et l’identificateur d’accès et la redirigeait vers le serveur des malfaiteurs.
Les escrocs avaient découvert un bug intéressant sur Facebook. Comme c’était prévisible, le langage de requête Facebook non sécurisé (FQL), qui avait été désactivé il y a un an, n’avait pas été totalement effacé; il avait été bloqué pour les applications, à quelques exceptions près néanmoins. Par exemple, Facebook Pages Manager, une application de macOS, utilise encore FQL. Par conséquent, pour obtenir l’accès à la fonctionnalité « verrouillée », le malware doit simplement agir au nom de l’application.
En utilisant des données détournées et en accédant à la fonctionnalité obsolète de Facebook, les escrocs pouvaient demander que le réseau social leur envoie la liste des contacts de la victime, éliminer ceux qui n’étaient pas en ligne, et choisir au hasard 50 nouvelles victimes. Ces utilisateurs étaient ensuite invités à cliquer sur un nouveau lien redirigeant vers Google Drive avec un aperçu de fichier PDF contenant la photo de la personne au nom de laquelle la nouvelle vague de messagerie avait commencé. En résumé, un cercle vicieux.
Il convient de noter que le script malveillant « aimait » une page Facebook en particulier, apparemment pour récolter des statistiques de l’infection. Au cours de l’attaque, Jacoby et Rosen ont observé que les malfaiteurs avaient changé plusieurs des pages spécifiques, sans doute parce que Facebook avait fermé les précédentes. A en juger le nombre de « likes « , il y avait des dizaines de milliers de victimes.
Leur analyse du code a révélé que les malfaiteurs planifiaient initialement d’utiliser des messages localisés mais qu’ils ont ensuite changé d’avis et se sont contentés de la simple et courte « Vidéo ». Le code de fonction de la localisation avait montré que les escrocs étaient en premier lieu intéressés par les utilisateurs de Facebook de plusieurs pays européens tels que la Turquie, l’Italie, l’Allemagne, le Portugal, la France (également le Canada francophone), la Pologne, la Grèce, la Suède et tous les pays anglophones.
L’effort mutuel de plusieurs entreprises a mis fin à la diffusion de l’infection pour le moment. Néanmoins, cette histoire est un rappel important pour dire que les extensions pour les navigateurs ne sont pas aussi inoffensives qu’elles puissent paraître. Afin de rester en sécurité et de ne pas être la victime de campagnes malveillantes similaires, évitez d’installer des extensions de navigateur sans avoir la conviction absolue qu’elles sont de confiance, qu’elles ne déroberont pas vos données et qu’elles ne traqueront pas vos activités en ligne.
Ne cliquez surtout pas sur des liens qui semblent provenir de quelqu’un que vous connaissez. C’est toujours une bonne idée de s’assurer que votre ami à l’autre bout de la ligne, n’est pas un cybercriminel qui a pris le contrôle du compte de votre ami.