Alerte Bitdefender : Un scam partage du porno sur vos groupes Facebook

publié par Laboratoires Antivirus Bitdefender, le 20 janvier 2016

Les laboratoires Bitdefender ont étudié un scam qui partage à votre insu du contenu pornographique sur les murs de vos contacts Facebook.

Tout part d’un lien qui mène vers une page Facebook à première vue normale, celle-ci proposant la lecture d’une vidéo secrète « réservée aux  plus de 18 ans ».

Une fois que vous cliquez sur le bouton ‘lecture’, il vous est demandé d’installer une extension Chrome, qui semble être une extension nécessaire à la lecture de vidéos en ligne. Cette extension se nomme « Fome He », et a déjà infecté plus de 3000 utilisateurs. Attention, cette extension change régulièrement de nom en se propageant (elle est connue aussi sous le nom de « Loviv » notamment), afin d’éviter tout blocage de la part de Google sur son navigateur. En regardant de plus près la source de la page, on peut voir que cette page est « pure static » c'est-à-dire que cette page ne contient aucun contenu ; il s’agit d’une copie du site Facebook. En d’autres termes, la page est un piège qui n’a aucun autre but que celui de vous faire installer la fausse extension.

Une fois installée, les utilisateurs sont redirigés vers une vraie page d’authentification Facebook, si vous n’êtes pas déjà connecté.

L’extension installée contient les fichiers et répertoires suivants :

1)      akeka.js

2)      9 fichiers répertoires aux noms aléatoires

Les 9 fichiers répertoires nommés de façon aléatoire contiennent des fichiers et des données sans utilité d’une taille d’environ 7.8 kilo octets.

Le fichier « akeka.js » est utilisé pour demander à une URL d’exécuter un nouveau script. Le script téléchargé collecte des données telles que les identifiants utilisateur et récupère le contenu de la mémoire tampon du navigateur et modifie ensuite les paramètres de confidentialité du compte Facebook de l’utilisateur infecté.

Ensuite, le malware procède à l’extraction de la liste des groupes dont fait partie l’utilisateur, dans une limite maximum de 10 groupes (la limite est spécifiée dans l’objet config). Ceci crée une fausse page, et un faux post Facebook au nom de l’utilisateur infecté, incitant les amis de ce dernier à lire la fameuse vidéo secrète réservée aux adultes, dont nous vous parlions au début de cet article.

En analysant l’ensemble de fichiers javascript que ce malware englobe, nous avons trouvé toute une portion de code dont la fonctionnalité semble être dédiée à l’ajout automatique de nouveaux amis sur Facebook.  A ce jour, cette partie du code sensée ajouter des amis ne s’exécute pas. On peut alors penser qu’il s’agit d’une fonctionnalité encore en version beta, qui risque d’être activée plus tard.

Vous trouverez ci-dessous le schéma d’exécution de ce malware : 

Ce qui se traduit en quelques minutes par cette activité sur le compte Facebook d’une personne infectée : 

Le menu Facebook confirme l’apparition d’un nouveau profil utilisateur : 

L’activité du malware liée aux groupes de la personne infectée est visible dans son historique d’activité sur Facebook, les contacts qui tomberont dans le piège infectant à leur tour leurs groupes d’amis Facebook : 

Pour rappel, prenez votre temps avant de cliquer, ne cliquez surtout pas sur un lien qui semble un peu douteux à première vue. Les cybercriminels s’appuient sur la curiosité pour vous faire contribuer à leur processus malveillant ! Utilisez un antivirus qui analyse les liens malveillants, demandez confirmation à votre ami(e) au sujet d’un contenu pour voir s’il ne partage pas les mêmes doutes que vous.

Ces informations sont fournies par Victor Luncasu, chercheur spécialisé dans l’analyse de codes malveillants chez Bitdefender.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.