Un cheval de Troie sur Facebook pour miner des bitcoins
juin 2014
Selon les Laboratoires antivirus Bitdefender, les utilisateurs Facebook sont infectés depuis la semaine dernière par un nouveau cheval de Troie qui utilise leur système à leur insu pour générer des bitcoins, la monnaie virtuelle très en vogue qui suscite l’avidité de nombreux pirates. Le malware a été détecté dans 12 pays pour le moment, notamment en France, en Belgique, au Portugal, en Roumanie, en Inde et en Serbie.
Selon les Laboratoires antivirus Bitdefender, les utilisateurs Facebook sont infectés depuis la semaine dernière par un nouveau cheval de Troie qui utilise leur système à leur insu pour générer des bitcoins, la monnaie virtuelle très en vogue qui suscite l’avidité de nombreux pirates. Le malware a été détecté dans 12 pays pour le moment, notamment en France, en Belgique, au Portugal, en Roumanie, en Inde et en Serbie.
Le virus se propage sur Facebook via un message privé, la victime qui reçoit le message pense qu’il provient de l’un de ses amis. Le message affiché est simpliste : « hahaha », et accompagné d’une pièce jointe au format archive intitulée IMAG00953.zip. Le fichier à l’intérieur de l’archive semble être une image JPG valide, mais il s’agit en fait d’un fichier Java malveillant qui s’exécute sur la machine quand l’utilisateur l’ouvre. À ce stade, le code Java télécharge des DLL depuis un compte Dropbox prédéfini. Une fois les DLL téléchargées, le malware se connecte à un serveur de commande et de contrôle qui renvoie une charge utile (shellcode) encodée en 64 bits.
Un message explique également à ceux qui tenteraient d’analyser son code, entre deux formules de politesse parsemées d’injures, qu’il n’est « pas un bot Zeus ou Skynet », qu’il n’est « pas là pour de la fraude mais juste du minage [de Bitcoin] ».
“Hello people.. :) but am not the f*****g zeus bot/skynet bot or whatever piece of s**t.. no fraud here.. only a bit of mining. Stop breaking my b***z.”
La charge utile est injectée dans l’explorateur Windows puis exécutée. Cela déclenche le téléchargement d’une autre DLL qui servira à lancer le processus de minage de bitcoin dans le but de faire gagner de l’argent aux pirates. En parallèle, le malware se propage sur Facebook en usurpant l’identité de la victime et en envoyant des messages à ses amis.
Mais le minage de bitcoin n’est pas la seule fonction du malware. Les cyber-criminels peuvent modifier le code du cheval de Troie à tout moment, et pousser ainsi d’autres malwares sur l’ordinateur à l’insu de la victime pour lancer d’autres actions malveillantes telles qu’envoyer des spams, lui dérober des informations personnelles, des mots de passe ou des identifiants bancaires.
Bitdefender bloque cette menace et protège les utilisateurs sur Facebook pour que leur PC ne soit pas utilisé à leur insu et que leurs amis ne reçoivent pas de spam de leur part.
