Le maliciel Zero-day menace de voler les données de connexion de Facebook

7 extensions dans Google Web Store infectées par des maliciels

Les utilisateurs de Facebook ont encore été menacés par un logiciel malveillant. Cette fois, la nouvelle campagne relative au réseau social a été découverte par l'équipe de sécurité de Radware. Le virus concerné, dénommé Nigelthorn, s'est infiltré dans le système par des liens intelligemment conçus sur Facebook. Ce logiciel malveillant ou maliciel peut voler les données personnelles (telles que les données de connexion) et installer une extension malveillante capable de miner la crypto-monnaie dans la machine ciblée. Il a été annoncé que, depuis mars 2018, ce virus a déjà infecté près de 100 000 utilisateurs.

Pour contourner l'analyse de validation de Google, les pirates informatique ont reproduit une extension légitime et l'ont injecté avec un script malveillant de telle sorte que le logiciel malveillant soit exécuté sournoisement. La plupart des  extensions ciblées sont Nigelify, PwnerLike, et iHabno. Au total, sept applications  ont été découvertes avec le code malveillant de Nigelthorn. Heureusement, Google a supprimé les applications malveillantes quelques heures après leur diffusion. 

Il convient de mentionner que les utilisateurs de Google Chrome sont les seuls à avoir été affectés par ce maliciel injecté dans les extensions de Chrome.  

Le mode d'action de Nigelthorn

Comme c'est généralement le cas avec les virus Facebook, l'utilisateur reçoit un message privée d'une personne de sa liste d'amis ou est étiqueté dans une publication contenant un lien malveillant. Dès qu'ils cliquent dessus, les utilisateurs sont dirigés vers un site YouTube factice qui leur demande d'installer une application spécifique pour pouvoir jouer la vidéo. 

Si l'utilisateur continue, l'application, particulièrement Nigelify, est installée. Cette dernière extrait un code malveillant et l'ordinateur se retrouve  infecté immédiatement par le logiciel malveillant. JavaScript télécharge alors un fichier de configuration à partir du C2 des pirates qui contient un ensemble de modules complémentaires (Crypto miner, YouTube click bait, et un code qui infecte et compromet le lien de reproduction Facebook). 

De plus, Nigelthorn télécharge un outil de crypto-minage accessible au public pour le navigateur et commence à miner la monnaie Monero, Bytecoin ou Electroneum dans l'appareil compromis. Il va sans dire que la puissance de l'unité de traitement (CPU) de l'ordinateur diminue puisque son utilisation atteint presque 100 %. Les chercheurs en sécurité ont déclaré que les cybercriminels sont parvenus à miner environ 1000 $ en six jours (plus particulièrement Monero).

Le logiciel malveillant ou maliciel commence aussi son cycle d'auto-propagation. Il recueille des informations importantes pour pouvoir se propager dans le réseau de l'utilisateur. Dès que la victime clique sur le lien malveillant, il envoie une copie du message à une personne choisie de manière aléatoire dans la liste d'amis. De cette façon, le maliciel continue de se propager partout.

Enfin, le virus essaie de voler les données de connexion du compte Facebook de la victime, ainsi que les informations qui lui ont été transmises par le témoin de navigation ou cookie à partir d'Instagram. Si un utilisateur inscrit ses données de connexion, cela est envoyé au C2 des malfaiteurs.

Le virus de Facebook n'arrête pas d'infecter les utilisateurs 

Il est évident que les virus de Facebook continueront leurs activités puisqu'ils semblent avoir du succès pour ce qui est de convaincre les utilisateurs de cliquer sur des liens malveillants et d'infecter les systèmes avec des logiciels malveillants. Comme cela ressort des récentes campagnes de Stresspaint et de FacexWorm , les cybercriminels trouveront toujours différents moyens de contourner les mesures de sécurité internes. Par conséquent, les utilisateurs doivent se montrer extrêmement vigilants lorsqu'ils cliquent sur des liens, même si ceux-ci semblent être légitimes ou provenir d'un ami de confiance.