extensions

Un programme malveillant vole les comptes Facebook

Comment les cybercriminels se servent d’archives infectées et d’extensions de navigateur malveillantes pour voler les comptes professionnels Facebook.

Alanna Titterington
6 Déc 2023

Nos chercheurs ont découvert une nouvelle version du programme malveillant de la famille Ducktail, spécialisée dans le vol de comptes professionnels Facebook. Les cybercriminels s’en servent pour cibler les employés d’une entreprise qui ont une position assez élevée ou qui travaillent en ressources humaines, marketing digital ou communication marketing. C’est assez logique : l’objectif étant de pirater les comptes Facebook, les cybercriminels s’intéressent principalement aux personnes qui devraient y avoir accès. Nous vous expliquons comment ces attaques sont réalisées, pourquoi elles sont spéciales et comment vous protéger.

Leurre et charge malveillante

Les cybercriminels à l’origine de Ducktail envoient des archives malveillantes aux victimes. Pour que le destinataire ne se méfie pas, les archives contiennent un leurre qui se présente sous la forme d’images et de vidéos à propos d’un thème courant. Par exemple, la campagne la plus récente, qui s’est déroulée de mars à début octobre 2023, traitait de la mode : les e-mails étaient envoyés en utilisant le nom de grands acteurs de l’industrie de la mode, et les archives contenaient des photos de divers modèles de vêtements.

Pourtant, ces archives ne contenaient que des fichiers exécutables qui se présentaient sous la forme de documents PDF. Ces fichiers utilisaient l’icône PDF et de très longs noms pour détourner l’attention de la victime et éviter qu’elle ne remarque l’extension EXE. Cette technique pousse le destinataire à ouvrir le faux fichier PDF pour voir ce qu’il contient. Lors de cette campagne centrée sur la mode, les noms évoquaient les « exigences et directrices pour les candidats », mais d’autres astuces peuvent être utilisées : listes des tarifs, offres commerciales, etc.

Contenu de l'archive malveillante Ducktail

L’archive malveillante Ducktail contient un fichier qui semble être un PDF mais qui est en réalité un EXE

Une fois ouvert, le fichier EXE exécute un script malveillant sur le dispositif ciblé. Il affiche dans un premier temps le contenu du fichier PDF (intégré dans le code malveillant) pour que la victime ne se doute de rien. D’autre part, le programme malveillant analyse tous les raccourcis du bureau, du menu Démarrer et de la barre de lancement rapide. Les raccourcis de navigateurs basés sur Chromium, comme Google Chrome, Microsoft Edge, Vivaldi ou Brave sont l’objet de cette recherche. Après en avoir trouvé un, le programme malveillant le modifie en ajoutant un ordre qui installe une extension du navigateur, qui se trouve aussi dans le fichier exécutable. Cinq minutes après son exécution, le script malveillant termine le processus du navigateur et demande à l’utilisateur de le relancer en utilisant le raccourci modifié.

Une extension de navigateur malveillante

Une extension malveillante est installée sur le navigateur lorsque l’utilisateur clique sur le raccourci. Cette imitation de Google Docs hors connexion est très convaincante puisqu’elle utilise la même icône et la même description. L’utilisateur pourrait se rendre compte que c’est un faux parce que la page n’est qu’en anglais.

À gauche, l’extension malveillante qui se fait passer pour Google Docs hors connexion ; et à droite, l’authentique extension de Google Docs hors connexion dans le navigateur Google Chrome

Une fois installée et exécutée, l’extension malveillante commence à surveiller constamment tous les onglets ouverts dans le navigateur et envoie les informations au serveur C2 des cybercriminels. Si le programme détecte une adresse associée à Facebook dans les onglets ouverts, l’extension malveillante vérifie s’il y a un compte d’entreprise ou de la gestion des publicités de Facebook puis le pirate.

L’extension vole les informations des comptes Facebook auxquels la victime est connectée depuis son appareil, ainsi que les cookies de session active que le navigateur conserve et qui peuvent être utilisés pour se connecter au compte sans avoir à s’authentifier.

D’après certaines informations, le groupe à l’origine de ce programme malveillant serait actif depuis 2018. Plusieurs équipes de chercheurs pensent qu’il est d’origine vietnamienne. Le groupe aurait commencé à distribuer Ducktail en 2021.

Comment se protéger contre Ducktail

Pour se protéger de Ducktail et de menaces similaires, les employés doivent suivre les principes de base de sécurité informatique. Ils doivent notamment :

Ne jamais télécharger les archives suspectes sur les ordinateurs professionnels si le lien a été envoyé par une source non fiable.
Vérifier minutieusement les extensions de tous les fichiers téléchargés depuis Internet ou par e-mail avant de les ouvrir.
Ne jamais cliquer sur un fichier qui ressemble à un document inoffensif mais qui a une extension EXE. Cela indique clairement qu’il s’agit d’un programme malveillant.
Toujours installer une protection fiable sur tous les appareils professionnels. Cet outil vous avertit lorsqu’il y a un éventuel danger et interrompt les attaques à temps. Nos solutions détectent cette menace en donnant le verdict Win64.Ducktail.gen.

Un échec pour Nothing Chats

L’application Nothing Chats de Nothing Phone promettait d’être l’équivalent d’iMessage pour Android, mais en moins de 24 heures, elle a été supprimée de Google Play en raison d’un manque criant de sécurité.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Un programme malveillant vole les comptes Facebook

Leurre et charge malveillante

Une extension de navigateur malveillante

Comment se protéger contre Ducktail

Extensions Chrome dangereuses

Des extensions de Chrome profitent de millions d’utilisateurs grâce à un adware

Un échec pour Nothing Chats

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky