Un message dans Facebook Messenger incite les victimes à télécharger des fichiers RAR ou ZIP infectés par ce virus.
Si Facebook Messenger est aujourd'hui l'un des services de messagerie instantanée les plus populaires, il est aussi très prisé des hackers qui profitent de la vulnérabilité de certains pour propager virus et autres malwares.
C'est le cas de Python Infostealer, un voleur d'informations, conçu pour capturer des informations d'identification et d'autres données personnelles stockées sur les machines et comptes de ses victimes.
Une attaque organisée en 2 étapes et 3 variantes
Les détails de l'attaque ont été révélés pour la première fois sur X.com (anciennement Twitter) en août 2023. Elles consistent à envoyer aux utilisateurs potentiels des fichiers d'archives RAR ou ZIP apparemment inoffensifs via des messages privés sur la plateforme. Elles semblent viser des chefs d'entreprise en les informant de fausses plaintes, les invitant à télécharger ces fichiers.
Sauf qu'une fois ouverts, ces fichiers activent la séquence d'infection. Les étapes intermédiaires impliquent deux téléchargeurs – un script batch et un script cmd – ce dernier étant responsable du téléchargement et de l'exécution du voleur d'informations à partir d'un référentiel GitLab contrôlé par un acteur.
Dans un rapport très détaillé, Cybereason a détecté trois variantes différentes du voleur, la troisième étant un exécutable assemblé par PyInstaller. Le malware est conçu pour collecter des données provenant de différents navigateurs web, dont le vietnamien Cốc Cốc, ce qui oriente la cible asiatique des attaques.
Facebook : terrain de jeu favori des infostealers
Les informations ainsi collectées, qui comprennent les identifiants et les cookies, sont ensuite exfiltrées sous la forme d'une archive ZIP via l'API Telegram Bot. Le voleur est également conçu pour vider les informations des cookies spécifiques à Facebook, ce qui indique une volonté de pirater ces comptes à des fins de ransomware ou d'usurpation d'identité.
La connexion vietnamienne est encore renforcée par la convention de dénomination des référentiels GitHub et GitLab et par le fait que le code source contient des références à la langue vietnamienne. C'est ce que déclare Kotaro Ogino, chercheur chez Cybereason. « Toutes les variantes prennent en charge le navigateur Cốc Cốc, qui est un navigateur vietnamien bien connu et largement utilisé par la communauté vietnamienne ».
Au cours de l'année écoulée, plusieurs voleurs d'informations ciblant les cookies de Facebook sont apparus dans la nature, notamment S1deload Stealer, MrTonyScam, NodeStealer et VietCredCare. Cette évolution intervient alors que Meta a été critiquée aux États-Unis pour ne pas avoir aidé les victimes dont les comptes ont été piratés, appelant l'entreprise à prendre des mesures immédiates pour faire face à une « hausse dramatique et persistante » des incidents de piratage de comptes.
31 octobre 2024 à 20h19
Source : CyberReason