{"id":21282,"date":"2023-12-06T13:14:02","date_gmt":"2023-12-06T11:14:02","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21282"},"modified":"2023-12-06T13:14:02","modified_gmt":"2023-12-06T11:14:02","slug":"ducktail-steals-facebook-business-accounts","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ducktail-steals-facebook-business-accounts\/21282\/","title":{"rendered":"Un programme malveillant vole les comptes Facebook"},"content":{"rendered":"

Nos chercheurs ont d\u00e9couvert une nouvelle version du programme malveillant de la famille Ducktail, sp\u00e9cialis\u00e9e dans le vol de comptes professionnels Facebook. Les cybercriminels s\u2019en servent pour cibler les employ\u00e9s d\u2019une entreprise qui ont une position assez \u00e9lev\u00e9e ou qui travaillent en ressources humaines, marketing digital ou communication marketing. C\u2019est assez logique\u00a0: l\u2019objectif \u00e9tant de pirater les comptes Facebook, les cybercriminels s\u2019int\u00e9ressent principalement aux personnes qui devraient y avoir acc\u00e8s. Nous vous expliquons comment ces attaques sont r\u00e9alis\u00e9es, pourquoi elles sont sp\u00e9ciales et comment vous prot\u00e9ger.<\/p>\n

Leurre et charge malveillante<\/h2>\n

Les cybercriminels \u00e0 l\u2019origine de Ducktail envoient des archives malveillantes aux victimes. Pour que le destinataire ne se m\u00e9fie pas, les archives contiennent un leurre qui se pr\u00e9sente sous la forme d\u2019images et de vid\u00e9os \u00e0 propos d\u2019un th\u00e8me courant. Par exemple, la campagne la plus r\u00e9cente, qui s\u2019est d\u00e9roul\u00e9e de mars \u00e0 d\u00e9but octobre 2023, traitait de la mode\u00a0: les e-mails \u00e9taient envoy\u00e9s en utilisant le nom de grands acteurs de l\u2019industrie de la mode, et les archives contenaient des photos de divers mod\u00e8les de v\u00eatements.<\/p>\n

Pourtant, ces archives ne contenaient que des fichiers ex\u00e9cutables qui se pr\u00e9sentaient sous la forme de documents PDF. Ces fichiers utilisaient l\u2019ic\u00f4ne PDF et de tr\u00e8s longs noms pour d\u00e9tourner l\u2019attention de la victime et \u00e9viter qu\u2019elle ne remarque l\u2019extension EXE. Cette technique pousse le destinataire \u00e0 ouvrir le faux fichier PDF pour voir ce qu\u2019il contient. Lors de cette campagne centr\u00e9e sur la mode, les noms \u00e9voquaient les \u00ab\u00a0exigences et directrices pour les candidats\u00a0\u00bb, mais d\u2019autres astuces peuvent \u00eatre utilis\u00e9es\u00a0: listes des tarifs, offres commerciales, etc.<\/p>\n

\"Contenu<\/a>

L\u2019archive malveillante Ducktail contient un fichier qui semble \u00eatre un PDF mais qui est en r\u00e9alit\u00e9 un EXE<\/p><\/div>\n

Une fois ouvert, le fichier EXE ex\u00e9cute un script malveillant sur le dispositif cibl\u00e9. Il affiche dans un premier temps le contenu du fichier PDF (int\u00e9gr\u00e9 dans le code malveillant) pour que la victime ne se doute de rien. D\u2019autre part, le programme malveillant analyse tous les raccourcis du bureau, du menu D\u00e9marrer et de la barre de lancement rapide. Les raccourcis de navigateurs bas\u00e9s sur Chromium, comme Google Chrome, Microsoft Edge, Vivaldi ou Brave sont l\u2019objet de cette recherche. Apr\u00e8s en avoir trouv\u00e9 un, le programme malveillant le modifie en ajoutant un ordre qui installe une extension du navigateur, qui se trouve aussi dans le fichier ex\u00e9cutable. Cinq minutes apr\u00e8s son ex\u00e9cution, le script malveillant termine le processus du navigateur et demande \u00e0 l\u2019utilisateur de le relancer en utilisant le raccourci modifi\u00e9.<\/p>\n

Une extension de navigateur malveillante<\/h2>\n

Une extension malveillante est install\u00e9e sur le navigateur lorsque l\u2019utilisateur clique sur le raccourci. Cette imitation de Google Docs hors connexion est tr\u00e8s convaincante puisqu\u2019elle utilise la m\u00eame ic\u00f4ne et la m\u00eame description. L\u2019utilisateur pourrait se rendre compte que c\u2019est un faux parce que la page n\u2019est qu\u2019en anglais.<\/p>\n

\"Une<\/a>

\u00c0 gauche, l\u2019extension malveillante qui se fait passer pour Google Docs hors connexion ; et \u00e0 droite, l\u2019authentique extension de Google Docs hors connexion dans le navigateur Google Chrome<\/p><\/div>\n

Une fois install\u00e9e et ex\u00e9cut\u00e9e, l\u2019extension malveillante commence \u00e0 surveiller constamment tous les onglets ouverts dans le navigateur et envoie les informations au serveur C2 des cybercriminels. Si le programme d\u00e9tecte une adresse associ\u00e9e \u00e0 Facebook dans les onglets ouverts, l\u2019extension malveillante v\u00e9rifie s\u2019il y a un compte d\u2019entreprise ou de la gestion des publicit\u00e9s de Facebook puis le pirate.<\/p>\n

L\u2019extension vole les informations des comptes Facebook auxquels la victime est connect\u00e9e depuis son appareil, ainsi que les cookies de session active que le navigateur conserve et qui peuvent \u00eatre utilis\u00e9s pour se connecter au compte sans avoir \u00e0 s\u2019authentifier.<\/p>\n

D\u2019apr\u00e8s certaines informations<\/a>, le groupe \u00e0 l\u2019origine de ce programme malveillant serait actif depuis 2018. Plusieurs<\/a> \u00e9quipes de chercheurs pensent qu\u2019il est d\u2019origine vietnamienne. Le groupe aurait commenc\u00e9 \u00e0 distribuer Ducktail en 2021.<\/p>\n

Comment se prot\u00e9ger contre Ducktail<\/h2>\n

Pour se prot\u00e9ger de Ducktail et de menaces similaires, les employ\u00e9s doivent suivre les principes de base de s\u00e9curit\u00e9 informatique. Ils doivent notamment\u00a0:<\/p>\n