Facebook, victime d’attaques de composants additionnels de navigateur malveillants

Microsoft signale l’apparition de composants additionnels malveillants pour les navigateurs Firefox et Chrome qui permettent à des individus malintentionnés de prendre à distance les commandes du profil Facebook de la victime. Les experts de la société ont noté une augmentation de l’activité associée à ces composants additionnels, principalement au Brésil. Le programme malveillant est désigné sous le nom Trojan:JS/Febipos.A par les solutions de protection Microsoft.

Ce cheval de Troie surveille l’activité de la victime, dont les sessions d’utilisation de Facebook. Il tente d’obtenir un fichier de configuration depuis <effacé>.info/sqlvarbr.php. Ce fichier contient les commandes pour la suite des opérations. Febipos peut publier des messages sur le mur de la victime, s’inscrire dans des groupes et y ajouter d’autres utilisateurs, participer à des chats et ajouter des commentaires aux messages. Pour l’instant, Microsoft a détecté sur les profils des victimes uniquement des messages provocateurs en portugais. Ces messages contiennent un lien vers une « vidéo » d’un suicide provoqué par la cyberintimidation. Facebook a déjà bloqué ce lien malveillant. 

Febipos possède une fonction de dropper et installe une porte dérobée dans le système infecté. Directement après l’installation, le programme malveillant contacte le domaine du-pont.info et tente d’obtenir une mise à jour. Les actions ultérieures de Febipos et le texte des messages publiés sont définis par le contenu du fichier de configuration téléchargé depuis l’adresse citée ci-dessus. Un des échantillons détectés par les chercheurs a récolté 2 746 « j’aime » sur Facebook, a été partagé 167 fois et a reçu 165 commentaires, ce qui indique que le nombre de victimes potentielles est élevé. En l’espace de quelques heures après l’analyse préliminaire, tous ces chiffres ont sensiblement augmenté.

Les experts estiment que le taux d’infection de ce nouveaux cheval de Troie pourrait être particulièrement élevé : il peut remplacer le modèle de messages, les URL malveillantes, les pages Facebook et possède bien d’autres astuces encore. Il ne présente par contre aucun danger pour les utilisateurs de Facebook sur Internet Explorer.

Google et Mozilla ont introduit récemment un nouveau niveau de protection contre les menaces Internet qui se dissimulent sous les traits de composants additionnels. En décembre dernier, Google avait introduit un mécanisme capable de bloquer l’installation en arrière-plan de composants additionnels pour Chrome. Avant, ils étaient téléchargés sans l’intervention de l’utilisateur, via un mécanisme particulier de Windows qui permet d’installer les composants additionnels avec d’autres applications. Ceci était très pratique pour les éditeurs tiers qui souhaitaient élargir leur clientèle par tous les moyens. 

Désormais, l’installation en arrière-plan des composants additionnels pour Chrome est désactivée par défaut. Quand une tentative de téléchargement d’un composant additionnel est détectée, une boîte de dialogue s’ouvre et signale à l’utilisateur les conséquences du téléchargement et les risques potentiels. Le nouveau mécanisme désactive également automatiquement les composants additionnels déjà installés via d’autres méthodes.

Mozilla, de son côté, depuis la sortie de Firefox 17, a ajouté la fonction click-to-play qui empêche l’exécution d’extensions et de composants additionnels vieux ou vulnérables. Les développeurs espèrent ainsi protéger les utilisateurs de Firefox contre les codes d’exploitation qui visent des versions antérieures des plug-in comme Adobe Flash et Adobe Reader.

Source: http://blogs.technet.com/b/mmpc/archive/2013/05/10/browser-extension-hijacks-facebook-profiles.aspx

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *