{"id":9451,"date":"2017-09-05T14:16:05","date_gmt":"2017-09-05T14:16:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9451"},"modified":"2019-11-22T09:03:29","modified_gmt":"2019-11-22T09:03:29","slug":"facebook-messenger-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/facebook-messenger-malware\/9451\/","title":{"rendered":"Un malware prend ses aises sur Facebook Messenger"},"content":{"rendered":"<p>Il y a quelque temps, notre expert des antivirus de notre \u00c9quipe internationale de recherche et d\u2019analyse (GReAT), David Jacoby, a d\u00e9couvert un malware multi-plateforme distribu\u00e9 via Facebook Messenger. Il y a quelques ann\u00e9es, des \u00e9pid\u00e9mies similaires apparaissaient fr\u00e9quemment, mais aucune ne s\u2019\u00e9tait manifest\u00e9e derni\u00e8rement, Facebook pr\u00e9venant \u00e9norm\u00e9ment ce type d\u2019attaques.<\/p>\n<p>Premi\u00e8rement, un <a href=\"https:\/\/securelist.com\/new-multi-platform-malwareadware-spreading-via-facebook-messenger\/81590\/\" target=\"_blank\" rel=\"noopener\">rapport pr\u00e9liminaire avait \u00e9t\u00e9 publi\u00e9<\/a>. A cette \u00e9poque, Jacoby n\u2019avait pas assez de temps pour trouver plusieurs informations sur la fa\u00e7on dont les malwares op\u00e9raient. Les temps ont d\u00e9sormais chang\u00e9 et nous sommes dispos\u00e9s \u00e0 vous <a href=\"https:\/\/securelist.com\/dissecting-the-chrome-extension-facebook-malware\/81716\/\" target=\"_blank\" rel=\"noopener\">faire partager ces informations<\/a>.<\/p>\n<ul>\n<li>L\u2019utilisateur recevait un message sur Facebook Messenger provenant d\u2019un ami. Le message contenait le mot \u00ab\u00a0Vid\u00e9o\u00a0\u00bb, le nom de l\u2019exp\u00e9diteur, un smiley al\u00e9atoire et un lien court. Voici \u00e0 quoi il ressemblait\u00a0:<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-9453\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/09\/05140147\/malicious-link-screenshot.png\" alt=\"\" width=\"261\" height=\"334\"><\/p>\n<ul>\n<li>Le lien redirigeait vers Google Drive, o\u00f9 l\u2019utilisateur voyait quelque chose qui ressemblait \u00e0 un lecteur vid\u00e9o avec une image de l\u2019exp\u00e9diteur original en fond et ce qui ressemblait \u00e0 un bouton de lecture.<\/li>\n<li>Si la victime essayait de lancer la \u00ab\u00a0vid\u00e9o\u00a0\u00bb sur Google Chrome, elle \u00e9tait redirig\u00e9e vers une page qui ressemblait beaucoup \u00e0 une page de YouTube et proposait d\u2019installer une extension pour Chrome.<\/li>\n<li>Si l\u2019utilisateur acceptait l\u2019installation, l\u2019extension commen\u00e7ait \u00e0 envoyer des liens malveillants \u00e0 ses amis et suivait le m\u00eame algorithme pour chacun d\u2019entre eux.<\/li>\n<li>Les utilisateurs d\u2019autres navigateurs \u00e9taient constamment rappel\u00e9s pour mettre \u00e0 jour leur Adobe Flash Player au lieu de se voir proposer l\u2019extension. Le fichier qu\u2019ils avaient t\u00e9l\u00e9charg\u00e9 \u00e9tait en r\u00e9alit\u00e9 un adware, les malfaiteurs utilisaient essentiellement des publicit\u00e9s afin de d\u00e9tourner leur argent.<\/li>\n<\/ul>\n<p>Jacoby, en partenariat avec Frans Rosen, un chercheur avec qui il avait travaill\u00e9 sur un projet appel\u00e9 \u00ab\u00a0<a href=\"https:\/\/www.kaspersky.fr\/blog\/hunting-bugs-for-humanity\/6955\/\" target=\"_blank\" rel=\"noopener\">Chasser des bugs pour l\u2019humanit\u00e9<\/a>\u00ab\u00a0, ont analys\u00e9 cette campagne malveillante et \u00e9labor\u00e9 la fa\u00e7on dont elle op\u00e9rait.<\/p>\n<p>La page vers laquelle les utilisateurs \u00e9taient redirig\u00e9s apr\u00e8s avoir suivi le lien sur Facebook Messenger \u00e9tait un fichier PDF qui avait \u00e9t\u00e9 publi\u00e9 sur Google Drive. Il s\u2019ouvrait comme un aper\u00e7u. Le fichier disposait d\u2019une photo provenant d\u2019une page Facebook (l\u2019utilisateur dont l\u2019identit\u00e9 \u00e9tait utilis\u00e9e pour diffuser le malware), une ic\u00f4ne pour lire la vid\u00e9o affich\u00e9e sur l\u2019image, et le lien que la victime ouvrait en essayant de cliquer sur le bouton de lecture.<\/p>\n<div id=\"attachment_9454\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-9454\" class=\"wp-image-9454 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/09\/05140309\/google-drive-pdf-1024x567.jpeg\" alt=\"\" width=\"1024\" height=\"567\"><p id=\"caption-attachment-9454\" class=\"wp-caption-text\">En cliquant sur ce lien, les amis de la victime ont \u00e9t\u00e9 redirig\u00e9s vers cette page.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Le lien redirigeait les utilisateurs vers un ou plusieurs sites web. Les victimes qui utilisaient des navigateurs autres que Google Chrome finissaient sur un site web qui proposait de t\u00e9l\u00e9charger des adwares se faisant passer pour une mise \u00e0 jour d\u2019Adobe Flash Player.<\/p>\n<div id=\"attachment_9455\" style=\"width: 890px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-9455\" class=\"wp-image-9455 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/09\/05140503\/flash-player-update-screenshot.jpg\" alt=\"\" width=\"880\" height=\"470\"><p id=\"caption-attachment-9455\" class=\"wp-caption-text\">Des navigateurs autres que Google Chrome proposaient de t\u00e9l\u00e9charger un adware qui se faisait passer pour Adobe Flash Player.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Dans le cas de Chrome, il ne s\u2019agissait que d\u2019un d\u00e9but\u00a0: si la victime acceptait d\u2019installer l\u2019extension propos\u00e9e sur la landing page, elle surveillait quels sites web l\u2019utilisateur ouvrait. A partir du moment o\u00f9 la victime naviguait sur Facebook, l\u2019extension volait ses donn\u00e9es d\u2019identification et l\u2019<a href=\"https:\/\/developers.facebook.com\/docs\/facebook-login\/access-tokens\/\" target=\"_blank\" rel=\"noopener nofollow\">identificateur d\u2019acc\u00e8s<\/a> et la redirigeait\u00a0 vers le serveur des malfaiteurs.<\/p>\n<div id=\"attachment_9456\" style=\"width: 1325px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-9456\" class=\"wp-image-9456 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/09\/05140607\/fake-youtube-screenshot.jpeg\" alt=\"\" width=\"1315\" height=\"677\"><p id=\"caption-attachment-9456\" class=\"wp-caption-text\">Une fausse page YouTube proposant d\u2019installer des extensions de Google Chrome.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Les escrocs avaient d\u00e9couvert un bug int\u00e9ressant sur Facebook. Comme c\u2019\u00e9tait pr\u00e9visible, le langage de requ\u00eate Facebook non s\u00e9curis\u00e9 (FQL), qui avait \u00e9t\u00e9 <a href=\"https:\/\/developers.facebook.com\/docs\/reference\/fql\/\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9sactiv\u00e9 il y a un an<\/a>, n\u2019avait pas \u00e9t\u00e9 totalement effac\u00e9; il avait \u00e9t\u00e9 bloqu\u00e9 pour les applications, \u00e0 quelques exceptions pr\u00e8s n\u00e9anmoins. Par exemple, Facebook Pages Manager, une application de macOS, utilise encore FQL. Par cons\u00e9quent, pour obtenir l\u2019acc\u00e8s \u00e0 la fonctionnalit\u00e9 \u00ab\u00a0verrouill\u00e9e\u00a0\u00bb, le malware doit simplement\u00a0 agir au nom de l\u2019application.<\/p>\n<p>En utilisant des donn\u00e9es d\u00e9tourn\u00e9es et en acc\u00e9dant \u00e0 la fonctionnalit\u00e9 obsol\u00e8te de Facebook, les escrocs pouvaient demander que le r\u00e9seau social leur envoie la liste des contacts de la victime, \u00e9liminer ceux qui n\u2019\u00e9taient pas en ligne, et choisir au hasard 50 nouvelles victimes. Ces utilisateurs \u00e9taient ensuite invit\u00e9s \u00e0 cliquer sur un nouveau lien redirigeant vers Google Drive avec un aper\u00e7u de fichier PDF contenant la photo de la personne au nom de laquelle la nouvelle vague de messagerie avait commenc\u00e9. En r\u00e9sum\u00e9, un cercle vicieux.<\/p>\n<p>Il convient de noter que le script malveillant \u00ab\u00a0aimait\u00a0\u00bb une page Facebook en particulier, apparemment pour r\u00e9colter des statistiques de l\u2019infection. Au cours de l\u2019attaque, Jacoby et Rosen ont observ\u00e9 que les malfaiteurs avaient chang\u00e9 plusieurs des pages sp\u00e9cifiques, sans doute parce que Facebook avait ferm\u00e9 les pr\u00e9c\u00e9dentes. A en juger le nombre de \u00ab\u00a0likes\u00a0\u00ab\u00a0, il y avait des dizaines de milliers de victimes.<\/p>\n<div id=\"attachment_9457\" style=\"width: 2164px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-9457\" class=\"wp-image-9457 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/09\/05140828\/beautiful-videos-screenshot.png\" alt=\"\" width=\"2154\" height=\"722\"><p id=\"caption-attachment-9457\" class=\"wp-caption-text\">Une des pages qui a infect\u00e9 les utilisateurs qui \u00ab\u00a0likaient\u00a0\u00bb.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Leur analyse du code a r\u00e9v\u00e9l\u00e9 que les malfaiteurs planifiaient initialement d\u2019utiliser des messages localis\u00e9s mais qu\u2019ils ont ensuite chang\u00e9 d\u2019avis et se sont content\u00e9s de la simple et courte \u00ab\u00a0Vid\u00e9o\u00a0\u00bb. Le <a href=\"https:\/\/cdn.securelist.com\/files\/2017\/08\/170831-facebook-malware-17.png\">code de fonction de la localisation<\/a> avait montr\u00e9 que les escrocs \u00e9taient en premier lieu int\u00e9ress\u00e9s par les utilisateurs de Facebook de plusieurs pays europ\u00e9ens tels que la Turquie, l\u2019Italie, l\u2019Allemagne, le Portugal, la France (\u00e9galement le Canada francophone), la Pologne, la Gr\u00e8ce, la Su\u00e8de et tous les pays anglophones.<\/p>\n<p>L\u2019effort mutuel de plusieurs entreprises a mis fin \u00e0 la diffusion de l\u2019infection pour le moment. N\u00e9anmoins, cette histoire est un rappel important pour dire que les extensions pour les navigateurs ne sont pas aussi inoffensives qu\u2019elles puissent para\u00eetre. Afin de rester en s\u00e9curit\u00e9 et de ne pas \u00eatre la victime de campagnes malveillantes similaires, \u00e9vitez d\u2019installer des extensions de navigateur sans avoir la conviction absolue qu\u2019elles sont de confiance, qu\u2019elles ne d\u00e9roberont pas vos donn\u00e9es et qu\u2019elles ne traqueront pas vos activit\u00e9s en ligne.<\/p>\n<p>Ne cliquez surtout pas sur des liens qui semblent provenir de quelqu\u2019un que vous connaissez. C\u2019est toujours une bonne id\u00e9e de s\u2019assurer que votre ami \u00e0 l\u2019autre bout de la ligne, n\u2019est pas un cybercriminel qui a pris le contr\u00f4le du compte de votre ami.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une histoire sur une large campagne malveillante d\u00e9ploy\u00e9e sur Facebook Messenger et son d\u00e9roulement.<\/p>\n","protected":false},"author":421,"featured_media":9452,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[2169,14,1900,2429,2430,155,921],"class_list":{"0":"post-9451","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-david-jacoby","9":"tag-facebook","10":"tag-facebook-messenger","11":"tag-facebook-pages-manager","12":"tag-frans-rosen","13":"tag-malware-2","14":"tag-recherche"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/facebook-messenger-malware\/9451\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/facebook-messenger-malware\/11170\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/facebook-messenger-malware\/9241\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/facebook-messenger-malware\/4976\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/facebook-messenger-malware\/12546\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/facebook-messenger-malware\/11744\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/facebook-messenger-malware\/11224\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/facebook-messenger-malware\/14287\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/facebook-messenger-malware\/14169\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/facebook-messenger-malware\/18565\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/facebook-messenger-malware\/3702\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/facebook-messenger-malware\/18412\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/facebook-messenger-malware\/7317\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/facebook-messenger-malware\/14547\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/facebook-messenger-malware\/8392\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/facebook-messenger-malware\/17753\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/facebook-messenger-malware\/17810\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/facebook-messenger-malware\/17791\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/facebook\/","name":"facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=9451"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9451\/revisions"}],"predecessor-version":[{"id":12881,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9451\/revisions\/12881"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/9452"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=9451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=9451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=9451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}