Un scam partage du porno sur vos groupes Facebook

Tout part d’un lien qui mène vers une page Facebook à première vue normale, celle-ci proposant la lecture d’une vidéo secrète ‘réservée aux  plus de 18 ans’.

Une fois que vous cliquez sur le bouton ‘lecture’, il vous est demandé d’installer une extension Chrome, qui semble être une extension nécessaire à la lecture de vidéos en ligne.

Cette extension se nomme ‘Fome He’, et a déjà infecté plus de 3.000 utilisateurs.

Attention, cette extension change régulièrement de nom en se propageant (elle est connue aussi sous le nom de ‘Loviv’ notamment), afin d’éviter tout blocage de la part de Google sur son navigateur.

En regardant de plus près la source de la page, on peut voir que cette page est ‘juste static’ c’est-à-dire que cette page ne contient aucun contenu, il s’agit d’une copie du site Facebook.

En d’autres termes, la page est un piège qui n’a aucun autre but que celui de vous faire installer la fausse extension.

Une fois installée, les utilisateurs sont redirigés vers une vraie page d’authentification Facebook, si vous n’êtes pas déjà connecté.

L’extension installée contient les fichiers et répertoires suivants:

1) akeka.js

2) 9 fichiers répertoires aux noms aléatoires

Les 9 fichiers répertoires nommés de façon aléatoire contiennent des fichiers et des données sans utilité d’une taille d’environ 7.8 kilo octets.

Le fichier ‘akeka.js’ est utilisé pour demander à une URL d’exécuter un nouveau script.

Le script téléchargé collecte des données telles que les identifiants utilisateur et récupère le contenu de la mémoire tampon du navigateur et modifie ensuite les paramètres de confidentialité du compte Facebook de l’utilisateur infecté.

Ensuite, le malware procède à l’extraction de la liste des groupes dont fait partie l’utilisateur, dans une limite maximum de 10 groupes (la limite est spécifiée dans l’objet config).

Ceci crée une fausse page, et un faux post Facebook au nom de l’utilisateur infecté, incitant les amis de ce dernier à lire la fameuse vidéo secrète réservée aux adultes, dont nous vous parlions au début de cet article.

D’après des analystes de Bitdefender, l’ensemble de fichiers javascript que ce malware englobe, il y a une portion de code dont la fonctionnalité semble être dédiée à l’ajout automatique de nouveaux amis sur Facebook.

A ce jour, cette partie du code sensée ajouter des amis ne s’exécute pas.
On peut alors penser qu’il s’agit d’une fonctionnalité encore en version beta, qui risque d’être activée plus tard.

Le menu Facebook confirme l’apparition d’un nouveau profil utilisateur.

L’activité du malware liée aux groupes de la personne infectée est visible dans son historique d’activité sur Facebook, les contacts qui tomberont dans le piège infectant à leur tour leurs groupes d’amis Facebook

secunews.org: Conseille à tous les utilisateurs de ne pas cliquer sur tout et n’importe quoi, pensez-y deux fois avant de cliquer ou partager un lien , cela rendra le travail des arnaqueurs bien plus difficile à exercer.Les cybercriminels s’appuient sur la curiosité pour vous faire contribuer à leur processus malveillant !
Assurez vous de disposer d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés, d’un logiciel pare-feu, éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ou vos appareils mobile ne deviennent un élément d’un réseau de zombie (botnet)