Un cheval de Troie sur Facebook pour miner des bitcoins
Des centaines d’utilisateurs Facebook dont des belges, sont infectés depuis la semaine dernière par un nouveau cheval de Troie (trojan) qui utilise leur système à leur insu pour générer des bitcoins, la monnaie virtuelle très en vogue qui suscite l’avidité de nombreux pirates.
Le virus se propage sur Facebook via message privé, la victime reçoit le message comme provenant de l’un de ses amis connu.
Le message affiché est simpliste, ‘hahaha’, il est accompagné d’une pièce jointe au format archive intitulée IMAG00953.zip, le fichier à l’intérieur de l’archive semble être une image JPG valide, mais elle contient en fait un fichier Java malveillant qui s’exécute sur la machine quand l’utilisateur l’ouvre.
A ce stade, le code Java télécharge des DLL depuis un compte Dropbox prédéfini.
Une fois les DLL téléchargées, le malware se connecte à un serveur de commande et de contrôle, qui renvoie une charge utile (shellcode) encodée en 64Bits.
[quote]Un message explique également à ceux qui tenteraient d’analyser son code, entre deux formules de politesse parsemées d’injures, qu’il n’est ‘pas un bot Zeus ou Skynet’, qu’il n’est ‘pas là pour de la fraude mais juste du minage [de Bitcoin]’.
“Hello people.. 🙂 but am not the f*****g zeus bot/skynet bot or whatever piece of s**t.. no fraud here.. only a bit of mining. Stop breaking my b***z[/quote]
La charge utile est injectée dans l’explorateur Windows et exécutée.
Cela déclenche le téléchargement d’une autre DLL, qui servira à lancer le processus de minage de bitcoin dans le but de faire gagner de l’argent aux pirates, en parallèle, le malware se propage sur Facebook en usurpant l’identité de la victime et en envoyant des messages à ses amis.
Mais le minage de bitcoin n’est pas la seule fonction du malware.
Les cyber-criminels peuvent modifier le code du cheval de Troie à tout moment, et pousser ainsi d’autres malwares sur l’ordinateur à l’insu de la victime pour lancer d’autres actions malveillantes comme envoyer des spams, lui dérober des informations personnelles, des mots de passe ou des identifiants bancaires.
Le malware a été détecté pour le moment en Belgique, au Portugal, en Roumanie et en Serbie.