Le 6 février 2013

Doctor Web informe les utilisateurs de l'apparition d’une nouvelle vague de propagation de programmes malveillants ciblant les utilisateurs du réseau social Facebook. Cette fois, les malfaiteurs utilisent l'application existante permettant de publier sur les pages un code HTML. Les pirates créent des groupes thématiques pour propager le programme malveillant en publiant une vidéo derrière laquelle se cache un lien vers ce programme.

Les cybercriminels ont crée plusieurs groupes portant les noms Videos Mega ou Mega Videos : au 5 février 2013, le nombre de membres était de plusieurs centaines. Dans chaque groupe, les pirates ont masqué le lien vers le programme malveillant en publiant une vidéo dans le champ permettant de coller un code HTML. Le visiteur du groupe, en cliquant sur la vidéo pour la lancer, tombe dans le piège. Une fenêtre s’affiche proposant de mettre à jour le logiciel permettant de regarder la vidéo, la fenêtre imitant la page officielle facebook.

Si l’utilisateur accepte d'installer une mise à jour, l’archive contenant le programme malveillant Trojan.DownLoader8.5385 est téléchargée sur son PC. Le trojan et tous ses composants possède une signature légale obtenue au nom de Updates LTD auprès de Comodo, pour cette raison, lors du processus d'installation, le trojan n'éveille pas les soupçons.

Trojan.DownLoader8.5385 est un downloader traditionnel, dont l’objectif principal est de télécharger et de lancer un autre programme malveillant sur le PC. Dans ce cas précis, le trojan télécharge des plugins pour Google Chrome et Mozilla Firefox afin d’envoyer des messages d’invitation pour ce joindre aux groupes Facebook et pour « Liker » automatiquement ces groupes dans le réseau social. De plus, ses configurations automatiques permettent :

• D’obtenir les données sur les amis de l’utilisateur Facebook,
• De « Liker » la page ou le lien,
• D’ouvrir l’accès à l’album photo de l’utilisateur,
• De joindre des groupes,
• D’envoyer des invitations à des amis de l’utilisateur pour rejoindre le groupe,
• De publier des liens sur le mur de l'utilisateur,
• De modifier le statut de l’utilisateur,
• D’initier un chat,
• De confirmer sa présence à un événement Facebook,
• D’envoyer des invitations à des événements,
• De commenter les posts,
• D’envoyer et de recevoir des messages.

Le fichier de configuration avec tous les plugins nécessaires est téléchargé sur le PC depuis le serveur des pirates. Les plugins du trojan sont détectés par Dr.Web comme Trojan.Facebook.310.

De plus, le Trojan.DownLoader8.5385 installe sur le PC infecté le programme malveillant BackDoor.IRC.Bot.2344, capable d’enrôler les postes de travail infectés dans un botnet. Ce trojan possède des fonctions de backdoor et est capable de réaliser toutes sortes de commandes qui lui sont envoyées via IRC (Internet Relay Chat). Pour les recevoir, le bot est connecté à une chaine spéciale IRC créée par les pirates. BackDoor.IRC.Bot.2344 à son tour est capable :

• D’exécuter les commandes de CMD,
• De télécharger des fichiers depuis une URL et de les sauvegarder dans un dossier précis,
• De vérifier si un processus est lancé ou pas,
• De transmettre une liste des processus lancés au serveur distant (via tasklist.exe),
• D’arrêter un processus,
• De lancer une application,
• De télécharger depuis une URL et d’installer des plugins pour Google Chrome.

La sécurité n’étant pas garantie sur Facebook, Doctor Web recommande de rester vigilant en visitant les pages des groupes du réseau social et d’installer uniquement les mises à jour des logiciels et applications depuis des pages officielles. Tous les programmes malveillants cités ci-dessus sont ajoutés aux bases virales Dr.Web et ne menacent plus nos utilisateurs.