Un programme malveillant se propage en exploitant le service de messagerie instantanée. Cette méthode n’est pas vraiment neuve, mais la capacité d’adaptation de l’attaque à l’OS et au navigateur de l’utilisateur mérite qu’on s’y attarde.
Facebook Messenger est un vecteur d’attaques comme un autre. Kaspersky a mis au jour une campagne de phishing en cours exploitant le service de messagerie instantanée. La technique n’a en soit rien d’extraordinaire : un peu d’ingénierie sociale afin d’inciter l’utilisateur à cliquer sur un lien. La méthode de propagation est encore floue : « des informations d'identification volées, des navigateurs ou des clics détournés » suppose l’éditeur, qui assure enquêter sur ce point.
Le message à la potentielle victime comporte une URL raccourcie redirigeant vers un Google Doc contenant une vidéo. Lorsqu’elle voudra la lire, le programme la redirigera à nouveau vers « un ensemble de sites Web qui recensent son navigateur, son système d'exploitation et d'autres informations vitales ». Là où cette attaque devient intéressante, c’est dans son ciblage.
Adware pour tous
Kaspersky explique que la campagne s’adapte au navigateur et à l’OS de l’utilisateur pour rediriger vers une page spécifique. Sur Chrome, le chercheur s’est retrouvé sur une fausse page YouTube, avec un faux message d’erreur demandant l’installation d’une extension Chrome malveillante, du genre à installer des fichiers dans votre ordinateur sans vous demander votre avis.
Sur Firefox, depuis un Windows, une fausse demande de mise à jour de Flash, avec un fichier exécutable sur Windows. Même chose sur Safari et OSX, avec un .dmg adaptée là encore consistant en un adware. « Jusqu’à présent, aucun malware réel (chevaux de Troie, exploits) n’est téléchargé » explique le chercheur. Ce qui est susceptible d’évoluer. Précaution d’usage : faire attention aux liens reçus, y compris si le message provient d’un contact de confiance.