Le phishing est l’arme de prédilection de tous les cybercriminels à la recherche d’identifiants de connexion. Un nouvel outil d’attaque, facebook Hacker, est pourtant parvenu à retenir l’attention des personnes malintentionnées recherchant des noms d’utilisateurs et des mots de passe.
Ce kit aide les escrocs à voler les identifiants de la personne qu’ils ont ciblée, sans que celle-ci n’ait besoin de taper les informations convoitées.
Fig.1 L’archive extraite de facebook Hacker
Le kit est intuitif, extrêmement simple à configurer, comme tous les outils de piratage conçus à l’intention des néophytes. Seuls deux champs doivent être remplis : une adresse e-mail temporaire et son mot de passe, où seront transmises les informations dérobées.
Fig. 2 Panneau de configuration
Une fois que l’utilisateur a cliqué sur le bouton « build », un fichier server.exe est créé et placé dans le dossier facebook Hacker avec les fichiers d’origine. Ce fichier server.exe sera envoyé aux futures victimes.
Fig. 3 Le fichier du serveur à envoyer aux victimes est prêt à être distribué
Lorsque la victime l'exécute, l’outil malveillant dérobe les identifiants du compte Facebook® de la victime, ainsi que tous les noms d’utilisateurs et les mots de passe mis en mémoire par le navigateur.
En effet, facebook Hacker cible également le navigateur Internet et les clients de messagerie instantanée pour recueillir l’ensemble de la liste des données d’identification « mémorisées ».
Afin de recueillir des mots de passe, le logiciel malveillant comprend des applications capables d’extraire des données des principaux navigateurs du marché, et de presque tous les clients de messagerie instantanée existants.
Et pour couronner le tout, l’application dresse également la liste des entrées du réseau commuté/privé virtuel de l’ordinateur et affiche leurs informations de connexion : nom d’utilisateur, mot de passe et domaine.
Afin d’éviter d’être détecté, facebook Hacker recherche également tous les processus liés aux suites de sécurité et les tue dès qu’il les détecte. Il est important de préciser qu’il dispose d’une liste codée en dur des processus associés aux solutions antivirus à rechercher et à bloquer en cas de détection.
Enfin, ce malware recherche les applications de surveillance du réseau et les bloque. Il s’agit d’une mesure de sécurité évitant que les utilisateurs curieux ne voient leurs mots de passe quitter le système.
Figure 4: TCP dump des informations envoyées par l’application.
Le serveur SMTP utilisant le cryptage TLS, le trafic « sniffé » n’apporte pas beaucoup d’informations sur ce qui se passe.
Nous pouvons constater que l’auteur a pris le temps de considérer différents éléments pouvant empêcher le bon fonctionnement de son outil et qu’il les a éliminés un par un.
Figure 5 : Les identifiants volés de nos comptes de test ont été envoyés à l’adresse indiquée.
BitDefender® identifie cette menace sous le nom de « Trojan.Generic.3576478 ». Afin de profiter d’Internet en sécurité, veillez à utiliser un antivirus régulièrement mis à jour. De même, n’exécutez pas les fichiers que vous recevez comme pièces jointes ou via messagerie instantanée, ou, au moins, analysez-les auparavant.
Tous les noms de produits et d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.