Un nouveau malware de minage s’attaque aux utilisateurs de Facebook Messenger

Des cherches en cyber­sé­cu­ri­té ont récem­ment décou­vert qu’un nou­veau type de mal­ware se pro­pa­geait à tra­vers l’ap­pli­ca­tion Face­book Mes­sen­ger. Ce bot mal­veillant uti­lise les ordi­na­teurs qu’il a pu infec­ter afin de miner des cryp­to-mon­naies, rem­plis­sant ain­si les poches de ses développeurs.

Deux experts en cyber­dé­fense ont récem­ment indi­qué qu’ils avaient trou­vé un nou­veau « mal­ware de minage » qui se pro­pa­geait via Face­book Mes­sen­ger.

Ce mal­ware, qu’ils ont bap­ti­sé « Dig­mine », uti­lise la puis­sance de cal­cul des machines infec­tées afin de miner du Mone­ro, une cryp­to-mon­naie ano­nyme, pour le compte des pirates.

D’a­bord obser­vé en Corée du Sud, Dig­mine aurait déjà pu tou­cher des inter­nautes situés en Azer­baïd­jan, en Ukraine, au Viet­nam, aux Phi­lip­pines, en Thaï­lande ain­si qu’au Venezuela.

Le bot se dif­fuse très rapi­de­ment : fonc­tion­nant comme un virus, il se sert des sys­tèmes détour­nés pour qu’ils puissent à leur tour conta­mi­ner d’autres ordi­na­teurs. Il pour­rait ain­si avoir déjà atteint d’autres pays – des pays au sein des­quels il n’a pour­tant pas encore été détec­té par les chercheurs.

Même si l’é­tude ne le men­tionne pas, news.bitcoin.com estime que ce mal­ware pour­rait avoir été déve­lop­pé par des hackers nord-coréens.

• À lire éga­le­ment : Washing­ton accuse la Corée du Nord d’être à l’o­ri­gine des attaques au ran­som­ware WannaCry

De Facebook Messenger à Google Chrome

Pour atteindre les ordi­na­teurs de ses vic­times, Dig­mine se fait pas­ser pour un lien vers un fichier vidéo – il s’a­git en fait d’un fichier exécutable :

Il se pro­page à par­tir des ver­sions « desk­top » de Face­book Mes­sen­ger, mais éga­le­ment des ver­sions web consul­tées depuis un navi­ga­teur Google Chrome.

Une fois qu’il a pris le contrôle de Chrome, il uti­lise le navi­ga­teur pour télé­char­ger des outils sup­plé­men­taires qui lui per­mettent de mettre en place son opé­ra­tion de minage, à l’in­su de la victime.

Mais ce n’est pas tout. Si l’in­ter­naute a pro­gram­mé son compte Face­book pour qu’il puisse se connec­ter auto­ma­ti­que­ment, Dig­mine va uti­li­ser Mes­sen­ger pour ten­ter de dif­fu­ser le fichier à l’en­semble des amis de sa victime.

Les cher­cheurs ont rapi­de­ment aler­té Face­book, qui aurait depuis sup­pri­mé sur son appli­ca­tion de nom­breux liens qui poin­taient vers Dig­mine. Au tra­vers d’une décla­ra­tion offi­cielle, la firme amé­ri­caine a décla­ré ceci : « Nous avons mis en place un cer­tain nombre de sys­tèmes auto­ma­ti­sés afin de stop­per la pro­li­fé­ra­tion de liens mal­veillants et de fichiers sur Face­book et sur Mes­sen­ger. Si vous pen­sez que votre ordi­na­teur est infec­té, nous vous pro­po­se­rons de béné­fi­cier d’un scan anti-virus gra­tuit avec l’un de nos par­te­naires de confiance. »

On assiste actuel­le­ment à une recru­des­cence de ces « mal­wares de minage ». Il s’ap­puient géné­ra­le­ment sur Coin­Hive, un logi­ciel qui per­met aux déve­lop­peurs de for­cer les machines infec­tées à miner du Mone­ro. Des sites inter­net, des réseaux wi-fi ou encore des exten­sions Google Chrome ont récem­ment été infec­tés par des mal­wares de ce type.

Réfé­rences : news.bitcoin.com, trendmicro.com