Les comptes YouTube et Facebook sont touchés par un nouveau malware très dangereux

Icônes d'applications sociales sur un écran de téléphone
(Crédit photo: dole777 / Unsplash)

Des experts en cybersécurité lancent l'alerte. Un nouveau logiciel malveillant a été découvert alors qu'il détournait les comptes de réseaux sociaux des utilisateurs, volait leurs identifiants de connexion enregistrés et utilisait leurs appareils pour miner des crypto-monnaies.

Les chercheurs de l'équipe Advanced Threat Control (ATC) de Bitdefender ont découvert une nouvelle souche qu'ils ont nommée S1deload Stealer. Celle-ci essaye d'échapper à la détection des programmes antivirus grâce à une utilisation intensive du sideloading DLL.

Au cours du second semestre de l'année dernière, les pirates à l'origine de la campagne ont réussi à infecter des centaines de points de terminaison (endpoint) avec ce nouvel infostealer.

Des centaines d'appareils infectés

"Entre juillet et décembre 2022, les produits Bitdefender ont détecté plus de 600 utilisateurs uniques infectés par ce malware", note Dávid Ács, chercheur chez Bitdefender.

Pour infecter leurs appareils, les victimes ont forcément téléchargé et exécuté elles-mêmes le malware. Les attaquants ont créé pour cela plusieurs archives (fichiers .zip) censés contenir du contenu pour adultes. Ceux qui téléchargent et exécutent ce contenu n'obtiendront pas ce qu'ils sont venus chercher, mais plutôt l'infostealer, capable de faire deux choses. 

Premièrement, il peut télécharger et exécuter un navigateur Chrome sans interface qui fonctionne en arrière-plan et ouvre différentes vidéos YouTube et publications Facebook afin d'engranger des vues. Il peut aussi télécharger et exécuter un "infostealer" qui décrypte et exfiltre les identifiants de connexion enregistrés dans les navigateurs, ainsi que les cookies de session.

S'il tombe sur un compte Facebook, il essaiera de l'analyser pour voir s'il administre des pages ou des groupes Facebook, s'il paie des publicités sur la plateforme, ou s'il est lié à un compte de gestionnaire d'entreprise. Évidemment, toutes ces choses rendraient aux yeux des pirates ce compte encore plus précieux. 

Enfin, il peut télécharger, installer et exécuter un mineur de crypto-monnaie qui extrait la crypto-monnaie BEAM pour les attaquants. BEAM se décrit comme une "plateforme confidentielle de crypto-monnaie et de DeFi".

"Le script malveillant que nous avons observé vole les informations d'identification enregistrées dans le navigateur de la victime pour les exfiltrer vers le serveur de l'auteur du malware", a déclaré Ács. "L'auteur du malware utilise les informations d'identification nouvellement obtenues pour envoyer des spams sur les réseaux sociaux et infecter d'autres machines, créant ainsi une boucle de rétroaction."

Via: BleepingComputer

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.