le 16 mai 2013

Doctor Web a détecté une nouvelle fonction dans un malware touchant les utilisateurs de Facebook, dont les médias ont déjà parlé. Trojan.Facebook.311 peut non seulement publier au nom d'utilisateur un statut, rejoindre des groupes et poster des commentaires, mais également envoyer du spam dans les réseaux sociaux Twitter et Google Plus.

Le Trojan Trojan.Facebook.311 est écrit en JavaScript et représente une macro complémentaire pour les navigateurs Google Chrome et Mozilla Firefox. Les malfaiteurs distribuent ce Trojan en utilisant l'ingénierie sociale. Les Trojans pénètrent les ordinateurs des victimes à l'aide d'une application spéciale d'installation, masquée sous une mise à jour de sécurité pour le lecteur vidéo. Il est à noter que l'installateur possède une signature de l'éditeur Updates LTD appartenant à Comodo. Les macros complémentaires sont respectivement appelées Chrome Service Pack et Mozilla Service Pack. Les malfaiteurs ciblant les utilisateurs brésiliens de Facebook ont créé une page spéciale en portugais pour distribuer ce Trojan.

Une fois l'installation terminée, le Trojan.Facebook.311 essaie de télécharger un fichier sur commande d’un serveur distant, lorsque l'utilisateur lance le navigateur. Puis les plug-ins malveillants, intégrés dans les navigateurs, attendent que la victime s’authentifie sur le réseau social Facebook. Ensuite, le Trojan peut effectuer, au nom de l'utilisateur, différentes actions suivant les commandes reçues dans le fichier de configuration : cliquer sur " J'aime ", publier un statut, poster un message sur le mur de l'utilisateur, rejoindre un groupe, commenter un message, inviter les amis de la victime dans un groupe ou leur envoyer un message. De plus, le Trojan peut télécharger et installer périodiquement de nouvelles versions des plug-ins et envoyer du spam dans les réseaux sociaux Twitter et Google Plus.

Récemment, le Trojan.Facebook.311 diffusait des messages sur Facebook contenant une image qui imitait le lecteur média intégré au navigateur. Si l'utilisateur cliquait sur cette image, il était redirigé vers des ressources frauduleuses. De la même façon, à l'aide des messages et des statuts, le Trojan essaie de promouvoir des quizzs créés par les malfaiteurs où les utilisateurs peuvent « gagner des prix ».

La signature du malware a été ajoutée aux bases virales Dr.Web et ce Trojan ne représente aucune menace pour les utilisateurs des logiciels Dr.Web. Malgré le fait que le Trojan.Facebook.311 cible les brésiliens, le même schéma peut être appliqué contre les 'autres utilisateurs de Facebook. Soyez vigilants et ne téléchargez et n'installez pas d'applications ou mises à jour suspectes pour les navigateurs.