En effet, en plus de ses premières activités qui consistaient à infecter les utilisateurs de Facebook Messenger en leur envoyant des messages contenant des liens malveillants conçus sur la base des messages habituels et n'ayant rien de suspect, FacexWorm vole les comptes et les informations d'identification des utilisateurs sur sites Internet qui l’intéresse. Ensuite, il utilise ses victimes pour accéder aux pages web des faux sites de cryptomonnaie où il injecte des codes malveillants. Il les redirige, enfin, vers le lien de celui qui est à la base de l'attaque pour des supposés programmes de parrainage de cryptomonnaie, cela avant de pirater les transactions sur les plateformes de commerce et de portefeuille web en remplaçant les adresses des victimes par celle du bourreau.
Figure 1. FacexWorm’s infection chain
Le mode opératoire du malware FacexWorm consiste à envoyer des messages contenant des liens malveillants à des utilisateurs de l'application Facebook Messenger. Le lien, une fois cliqué, oblige l'utilisateur à accepter et installer une extension afin de pouvoir accéder à une vidéo YouTube pointée par le lien. L'installation demandera, ensuite, le privilège d'accéder et de modifier les données sur les sites web ouverts qui intéresse FacexWorm. Une fois le privilège accordé, FacexWorm continue son activité de propagation en téléchargeant et en installant des codes malveillants supplémentaires depuis son serveur de commande et de contrôle (C&C). Une série d'installation de codes et des requêtes conduiront à obtenir la liste d'amis du compte qui recevront, à leur tour, le message contenant FacexWorm qui va finir par se déployer également sur la liste de leurs amis.
Après la propagation, l'activité malveillante de Facexworm continue par des comportements malicieux. D'après les informations recueillies, FacexWorm est une copie d'une extension normale de Chrome qui profite de l'ouverture d'une page web pour télécharger des codes JavaScript depuis son serveur C&C. Voici des comportements malveillants de FacexWorm durant son activité :
- vole des identifiants des comptes utilisateurs ;
- incitation des utilisateurs à se diriger vers les sites d’escroquerie de cryptomonnaie et de portefeuille web ;
- remplacement des adresses des victimes par celles de leurs bourreaux.
Pour maintenir longtemps sa victime sous son emprise à des fins d'atteindre ses objectifs, FacexWorm utilise des mécanismes de fermeture de page à chaque fois que l'utilisateur essaie d'afficher la page des extensions de Chrome.
Des solutions pour atténuer des attaques de FacexWorm sont mises en place par Facebook et ses partenaires de sécurité telles que la veille, la détection et suppression des liens malveillants, les scans antivirus gratuits proposés aux utilisateurs.
Mais, étant donné que Facebook et son application Messenger sont parmi les applications les plus installées sur les terminaux qui servent très souvent de moyen de transactions sur les plateformes de cryptomonnaie et de portefeuille web, ces mesures sont-elles suffisantes pour pallier aux menaces constituées par le retour en force de FacexWorm?
Source: Trendmicro
Et vous?
Que pensez-vous de ce niveau de sécurité prévue par Facebook contre le retour de FacexWorm?
Facebook et ses partenaires ne devraient-ils pas renforcer les solutions de sécurité en amont au lieu de demander au Facebookeurs d'être vigilants avec les messages qu'ils reçoivent?