Attention, ce spyware se fait passer pour Telegram et circule sur les réseaux

Alexandre Boero
Chargé de l'actualité de Clubic
12 avril 2022 à 12h35
0
© Pexels / Ricardo Ortiz
© Pexels / Ricardo Ortiz

Un nouveau malware, FFDroider, a été découvert sévissant sur Windows. Son but est de voler vos identifiants pour accéder à certains grands réseaux sociaux et plateformes.

L'équipe de chercheurs cyber de ThreatLabz a tout récemment identifié ce nouveau spyware fondé sur Windows qui fait fureur en dérobant des identifiants, mais aussi les cookies générés depuis votre ordinateur. Pour ce faire, le malware cible principalement des réseaux sociaux ou des sites connus du grand public en se faisant passer pour l'application Telegram. Il peut ensuite prendre le contrôle des comptes et accéder à de nombreuses informations, comme certaines données de paiement. Voyons quels réseaux et plateformes sont ciblés, et comment fonctionne réellement ce spyware qui inquiète.

Divers navigateurs, dont ceux fondés sur Chromium, ciblés par FFDroider

La version analysée par l'équipe Zscaler ThreatLabz nous montre un logiciel malveillant qui se fait passer pour un installateur de Telegram. Celui-ci prend la forme de la messagerie instantanée dans sa version de bureau Windows de l'application. Cet installateur, qui contient donc le spyware FFDroider, se retrouve sur différents sites de téléchargement illégaux de jeux ou de logiciels gratuits, que l'on ne peut que vous déconseiller de visiter et d'utiliser.

Une fois installé sur l'ordinateur désormais infecté, FFDroider démarre sa petite routine en volant des cookies et identifiants enregistrés dans différents navigateurs. Google Chrome et tous les navigateurs de la famille Chromium, Mozilla Firefox, Internet Explorer et Microsoft Edge, sont ses cibles de prédilection. Pour chacun d'entre eux, le spyware a ses propres spécificités. Par exemple, pour les navigateurs fondés sur l'architecture Chromium, il pioche dans les différents magasins SQLite, exécute des requêtes SQL et soumet à la fonction CryptUnProtectData le cache des mots de passe extraits, pour révéler les identifiants en clair. On vous épargne le processus complet, mais il s'applique aussi, avec des fonctions différentes évidemment, aux autres navigateurs précités.

Une fois les noms d'utilisateur, mots de passe et cookies exfiltrés et récupérés, FFDroider envoie tout ça aux hackers via une requête HTTP POST vers un serveur C2 (un serveur de commande et de contrôle, ou C&C). Précisons qu'une requête POST est souvent utilisée pour les formulaires en ligne. Le pirate n'a alors plus qu'à mener son affaire sur les comptes des réseaux sociaux et sites cibles de l'utilisateur, pour lui voler de nouvelles informations, potentiellement plus critiques.

Un spyware qui s'inscrit sur la liste blanche du pare-feu Windows

FFDroider ne vise que des sites d'importance où l'on peut retrouver de multiples informations très rapidement : Facebook, Instagram, Amazon (le nom de domaine français fait partie de la liste), eBay, WAX Cloud Wallet, Twitter ou encore Etsy. Les réseaux sociaux et les sites de e-commerce sont privilégiés, car ils regorgent de données, et l'on peut typiquement y retrouver des traces bancaires. Sur Facebook (ou Instagram) par exemple, le pirate peut s'emparer des informations de paiement contenues dans le Facebook Ads-manager, le gestionnaire de publicités du réseau social.

Le cycle d'attaque de Spyware.FFDroider © Zscaler ThreatLabz
Le cycle d'attaque de Spyware.FFDroider © Zscaler ThreatLabz

Concernant Facebook plus particulièrement, le malware sait que les cookies sont relus par ces derniers. Il vérifie donc s'il peut s'authentifier à l'aide des cookies dérobés. S'il y parvient, il envoie une requête GET (qui est un peu l'ancêtre des requêtes HTTP) qui lui permet de récupérer les paramètres du compte compromis. Cette manœuvre l'aide à vérifier si l'utilisateur dispose d'un accès au gestionnaire de publicités Facebook, où se trouvent les fameuses informations bancaires.

Dans tous les cas, la force de FFDroider est de réussir à s'ajouter à la liste blanche du pare-feu Windows, afin d'obtenir toutes les autorisations et d'être copié là où il le souhaite.

Plusieurs campagnes de diffusion du spyware ont été observées ces dernières semaines. Elles invitent à la prudence.

Source : Zscaler

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet