le 29 avril 2016

Aujourd'hui, Facebook est l'un des réseaux sociaux les plus populaires dans le monde, c'est pourquoi l’intérêt que lui portent les hackers ne diminue pas avec le temps. Les analystes de Doctor Web ont constaté qu’un plugin créé pour le navigateur Google Chrome et capable d'envoyer des spams via Facebook a été installé par plus de 12000 utilisateurs.

Dr.Web détecte ce plugin malveillant comme Trojan.BPlug.1074. Si l'utilisateur qui a installé ce plugin se connecte à Facebook, le Trojan.BPlug.1074 détermine son identifiant (UID) et apporte des modifications à l'apparence du site du réseau social dans la fenêtre du navigateur : il supprime le menu " Raccourcis de confidentialité " qui s'ouvre en cliquant sur l’icône du cadenas se trouvant dans le coin supérieur droit de la fenêtre Facebook, ainsi que tous les autres menus déroulants qui peuvent être affichés dans l'interface du réseau social. Puis le Trojan obtient la liste des amis de sa victime.

Ensuite, le Trojan.BPlug.1074 crée automatiquement une nouvelle page de communauté, dont le nom est généré automatiquement. En utilisant l'ID de la communauté, la photo de sa victime installée en tant qu'avatar et l'adresse de la page Web tirée du fichier de configuration, le Trojan crée un post au format " partager le lien " et le publie dans son fil d'actualité avec un certain intervalle. Compte tenu du fait que dans son post, le Trojan " mentionne " tous les amis de l'utilisateur dont il a reçu les noms grâce à la liste obtenue précédemment, ce message apparaît également dans leur fil d'actualité.

Le lien affiché redirige l'utilisateur Facebook vers une page Web imitant l'apparence du réseau social (dans le cas où l'utilisateur clique sur ce lien depuis un autre site Web, il est redirigé vers une page Web vide).

Cette page contient le titre " Hello please watch my video ", au-dessous duquel se trouve un composant ressemblant à celui d’un lecteur vidéo standard. Si l'internaute utilise le navigateur Chrome, lorsqu'il tente d'afficher cette vidéo, une boîte de dialogue apparaît et lui propose de télécharger et d’installer un plugin pour son navigateur. Ce plugin est également une copie du Trojan Trojan.BPlug.1074.

De manière similaire, le Trojan.BPlug.1074 peut diffuser d'autres plugins pour le navigateur Google Chrome.

Les analystes de Doctor Web ont constaté que vers le 28 Avril, 2016, le plugin malveillant Trojan.BPlug.1074 a été téléchargé et installé par les utilisateurs de Facebook plus de 12 000 fois. Dr.Web Antivirus détecte avec succès et supprime ce Trojan, cependant les experts recommandent aux utilisateurs d'être vigilants et de ne pas installer d’extensions pour le navigateur, même si elles sont proposées par un site populaire comme Facebook.

Plus d'infos sur ce Trojan