Si comme moi, vous possèdez un compte Facebook, il y a de fortes chances pour que vous ayez reçu un étrange e-mail ces derniers jours. Intégralement en anglais, ce message (qui imite la charte graphique d'une boîte de dialogue de Facebook) vous invite à changer votre mot de passe. Le texte explique que les mots de passe de Facebook on tous été remi à zéro par mesure de sécurité, et vous demande de redéfinir le vôtre grâce au fichier joint qui est sensé contenir votre nouveau code d'accès au site. Intitulé "Facebook Password Reset Confirmation", ce message malicieux est en fait envoyé par des botnets et sa pièce jointe (un .zip) s'avère contenir un téléchargeur de trojan (Bredolab).
La "copie" n'est toutefois pas infaillible pour un oeil averti, et un simple survol du lien avec la souris fait apparaître une URL illégitime (voir sur ma capture d'écran plus bas).
Cette méthode de phishing n'est pas nouvelle, mais ce qui est impressionnant dans cette affaire, c'est le nom astronomique de personnes ayant été touchées par cette attaque, qui semble avoir débute lundi après midi.
En seulement 48 heures, plus de 735.000 personnes ayant un compte sur Facebook auraient déjà reçu ce pourriel, et le million ne saurait tarder.
L'entreprise Cloudmark, spécialisée dans la sécurité des serveurs mails, explique que Bredolab dirige en fait l'ordinateur vers un domaine russe à partir duquel sont téléchargés divers malwares et de faux programmes de sécurité. Du code malveillant s'installe également par cette brêche et la machine infectée devient alors partie intégrante du réseau de botnets de Bredolab.
Environ 8 % des destinataires de ce message le considèreraient comme légitime, mais on ne sait pas encore combien d'internautes ont réellement exécuté la pièce jointe.
Alors que le géant des sites communautaires avait annoncé le mois dernier avoir enregistré son 300 millionème utilisateur, il est depuis l'une des cibles préfèrées des pirates et autres voleurs d'identité à cause de sa forte fréquentation.
Facebook à confirmé ce matin que l'attaque est menée par e-mail, et non pas par voie interne, comme l'avait fait le ver Koobface quelques semaines auparavant.
Source : Cloudmark
Envoyé par mitnick2006
