Video_xxxx : Méfiez-vous de ce virus se propageant sur Facebook Messenger

Si vous recevez un fichier vidéo du nom de video_xxxx ou video xxx compressé et envoyé par quelqu’un (y compris vos amis) sur votre messagerie Facebook, vous ne devez simplement pas cliquer dessus.
Les chercheurs de la société de sécurité Trend Micro avertissent les utilisateurs d’un nouveau bot d’exploration de crypto-monnaie qui se propage sur Facebook Messenger et qui cible les utilisateurs de Google Chrome pour profiter de la récente flambée des prix de la cryptomonnaie.
Surnommé Digmine, le bot d’extraction se dissimule sous la forme d’un fichier vidéo non intégré, sous le nom video_xxxx.zip (comme indiqué dans la capture d’écran), mais contient en réalité un script exécutable.

Son mode de fonctionnement

Une fois cliqué, le logiciel malveillant infecte l’ordinateur de la victime et télécharge ses composants et les fichiers de configuration associés à partir d’un serveur distant de commande et de contrôle (C & C).
Il installe principalement un crypto-monnaie, à savoir mineur.exe, qui marche arrière-plan pour les pirates utilisant la puissance CPU des ordinateurs infectés.

Outre le mineur de crypto-monnaie, Digimine bot installe également un mécanisme de démarrage automatique et lance Chrome avec une extension malveillante qui permet aux attaquants d’accéder au profil Facebook des victimes et de diffuser le même fichier malveillant sur la liste de leurs amis via Messenger.

Lire aussi:  15 façons d’empêcher votre blog WordPress d’être piraté

Du côté de Google Chrome

Étant donné que les extensions Chrome ne peuvent être installées que via le Chrome Web Store officiel, « les attaquants ont ignoré ce problème en lançant Chrome (avec l’extension malveillante) via une ligne de commande. »
«L’extension lira sa propre configuration à partir du serveur C & C. Elle peut demander à l’extension de se connecter à Facebook ou d’ouvrir une fausse page qui lira une vidéo», disent les chercheurs de Trend Micro.

« Le site Web leurre qui joue la vidéo fait également partie de leur structure C & C. Ce site prétend être un site de streaming vidéo mais détient également beaucoup de configurations pour les composants du malware. »

Il est à noter que les utilisateurs ouvrant le fichier vidéo malveillant via l’application Messenger sur leurs appareils mobiles ne sont pas affectés.

Puisque le mineur est contrôlé à partir d’un serveur C & C, les auteurs derrière Digiminer peuvent mettre à jour leurs logiciels malveillants pour ajouter différentes fonctionnalités du jour au lendemain.

Les campagnes Facebook Spam sont assez courantes. Il est donc conseillé aux utilisateurs d’être vigilants en cliquant sur les liens et les fichiers fournis via la plateforme du site de médias sociaux.