Jusqu 'où iriez vous pour retrouver votre mot de passe Facebook® ?

publié par Bogdan Botezatu, le 21 April 2011

Toujours la même formule avec de petites variantes : tel jour les utilisateurs sont informés que leur mot de passe a été changé, tel autre que leur compte a été utilisé pour envoyer du spam, et que leurs informations personnelles ont été modifiées.

Depuis quelques semaines, les utilisateurs de Facebook reçoivent une avalanche de messages de spam essayant de les piéger : leur mot de passe a été modifié par l’équipe de support de Facebook.

Fig.1 L’e-mail de spam comporte une pièce jointe exécutable qui est, bien sûr, infectée.

Si vous jetez un œil attentif aux détails de l’e-mail, vous avez sans doute remarqué que FaceBook a été orthographié avec un b majuscule, et cela devrait éveiller vos soupçons. À cela s’ajoute l’incohérence du texte de l’e-mail, dans lequel figure à la fois l’orthographe correcte, Facebook, et FaceBook.  Ce qui devrait finir de vous convaincre qu’ils ‘agit d’une arnaque de type « ingénierie sociale ».

Sur l’image ci-dessus, le message de spam est accompagné d’une pièce jointe, un fichier .zip nommé « New_Password » (nouveau mot de passe). L’archive semble contenir un document Word (si l’on se fie à son icône) mais il s’agit en fait d’un fichier .exe auquel a été associé une icône de type .doc. Cela indique assurément les intentions malveillantes des expéditeurs de cet e-mail.

Fig. 2 Faux document Word avec une extension exécutable

En jetant un coup d’œil attentif à cette arnaque,  le fichier binaire compilé révèle que des informations deressources proviennent soit disant de TDL Softwin® et le décrit comme « MJ BitDefender®TDL », de fausses informations introduites par l’escroc dans le fichier alors que ce binaire ne provient absolument pas de nos Laboratoires.  Rien de bien nouveau, puisque nous avons déjà été la cible d’une attaque, pas plus tard que la semaine dernière et que de nombreux  faux antivirus utilisent notre nom pour tromper les utilisateurs.  N’oubliez pas que les véritables produits BitDefender disposent tous d’une signature numérique confirmant leur intégrité et leur authenticité.

Fig. 3 Fausse fenêtre d’informations concernant le prétendu « document Word »

Il s’agit, vous vous en doutez, d’un malware, et plus précisément d’une backdoor (identifié par BitDefender sous le nom de « Trojan.Generic.KDV.194478 ») qui se diffuse via des spams et qui télécharge d’autres malwares pour les exécuter sur le système de l’utilisateur.
Je dois reconnaître que la supercherie est plutôt bien faite : afin d’éviter d’être détecté, la backdoor télécharge également un fichier .doc contenant un faux mot de passe Facebook (voir l’image ci-dessous) après avoir infecté le système. Ce type de comportement peut sembler plus légitime aux yeux de l’utilisateur par rapport à un fichier qui disparait après avoir été exécuté.
 

Fig 4. Faux mot de passe Facebook dans le document .doc téléchargé

Outre ce fichier .doc, la backdoor ouvre également la voie à d’autres malwares qui sont téléchargés à partir de différentes URL. Les malwares ainsi téléchargés sont capables de dérober des données sensibles telles que des mots de passe FTP, des comptes Yahoo!® Messenger ainsi que des noms d’utilisateurs et des mots de passe associés à d’autres fournisseurs de services de messagerie.

Cette  technique prouve que les cybercriminels sont constamment à la recherche de nouvelles méthodes pour diffuser  des malwares et attaquer des utilisateurs de PC vulnérables. Conclusion : On n’est jamais trop prudent, notamment lorsqu’on surfe sur Internet.

Tous les noms de produits et d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.

Bogdan Botezatu

Bogdan ne croit que ce qu'il peut démonter en petites pièces et inspecter minutieusement. Sa passion pour l'écriture et son obsession du détail font partie des ses plus grandes qualités.