De faux profils sur Facebook proposent de consulter un fichier contenant des photos sexy de femmes. Mais, ce fichier contient également un logiciel malveillant pour dérober identifiants et mots de passe.

De quoi ruiner le rêve de certains. Une multitude de faux comptes de femmes en tenues sensuelles sur Facebook ont été créés pour voler des identifiants, révèle une recherche de la société de sécurité cloud Zscaler, publiée le 20 janvier 2023. Ces profils contactent leurs victimes sur Facebook en leur proposant de consulter un fichier contenant des photos sexy. Une fois téléchargé, l’album en question contient bien les clichés promis, mais aussi un logiciel malveillant pour dérober identifiants et mots de passe. Généralement, les pirates proposent un dossier à récupérer sur un compte OneDrive de Microsoft ou depuis un lien frauduleux.

Le malware dont il est ici question est un info stealer, programmé pour fouiller dans les dossiers et récupérer des fichiers spécifiques : cookies, données d’identification.

Un album photo contenant le logiciel malveillant téléchargé sur un compte microsoft onedrive. // Source : ZScaler
Un album photo contenant le logiciel malveillant, téléchargé sur un compte Microsoft OneDrive. // Source : ZScaler

Pour cela, le logiciel se concentre sur les navigateurs tels que Chrome, Firefox, Microsoft Edge ou Brave. « Album Stealer » — le nom donné au malware par Zscaler — cible les fichiers Local State, Login Data et Cookies. L’emplacement Local State contient des clés nécessaires pour déchiffrer les données du navigateur web. Le programme commence par lire le fichier et récupère les paramètres nécessaires pour aller plus loin dans l’infection. Des fonctions de ciblage de fichiers permettent de trouver rapidement les données intéressantes et de les exfiltrer sur des serveurs externes. Tout ce processus se réalise discrètement à l’insu de la victime.

Des campagnes de phishing venues du Viêt Nam

Les pirates derrière cette campagne seraient vietnamiens, si l’on en croit les indices repérés par Zscaler. Par exemple, une requête vers un serveur a reçu une réponse en vietnamien : « Mise à jour du statut réussie ».

La mise à jour du statut est en langue vietnamienne. // Source : Zscaler
La mise à jour du statut est en langue vietnamienne. // Source : Zscaler

Cette campagne ressemble sensiblement à une autre opération de phishing nommée « Ducktail » et menée par des pirates vietnamiens. En août, des employés d’entreprises s’étaient fait piéger depuis des liens envoyés sur Facebook et WhatsApp. Les malfaiteurs cherchaient à voler les identifiants de comptes légitimes Facebook Ads pour les transformer en page d’arnaque. WithSecure, l’entreprise à l’origine de la recherche, avait estimé que les pertes pour les sociétés victimes pouvaient monter à 600 000 euros.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !