L'équipe de chercheurs cyber de ThreatLabz a tout récemment identifié ce nouveau spyware fondé sur Windows qui fait fureur en dérobant des identifiants, mais aussi les cookies générés depuis votre ordinateur. Pour ce faire, le malware cible principalement des réseaux sociaux ou des sites connus du grand public en se faisant passer pour l'application Telegram. Il peut ensuite prendre le contrôle des comptes et accéder à de nombreuses informations, comme certaines données de paiement. Voyons quels réseaux et plateformes sont ciblés, et comment fonctionne réellement ce spyware qui inquiète.
La version analysée par l'équipe Zscaler ThreatLabz nous montre un logiciel malveillant qui se fait passer pour un installateur de Telegram. Celui-ci prend la forme de la messagerie instantanée dans sa version de bureau Windows de l'application. Cet installateur, qui contient donc le spyware FFDroider, se retrouve sur différents sites de téléchargement illégaux de jeux ou de logiciels gratuits, que l'on ne peut que vous déconseiller de visiter et d'utiliser.Une fois installé sur l'ordinateur désormais infecté, FFDroider démarre sa petite routine en volant des cookies et identifiants enregistrés dans différents navigateurs. Google Chrome et tous les navigateurs de la famille Chromium, Mozilla Firefox, Internet Explorer et Microsoft Edge, sont ses cibles de prédilection. Pour chacun d'entre eux, le spyware a ses propres spécificités. Par exemple, pour les navigateurs fondés sur l'architecture Chromium, il pioche dans les différents magasins SQLite, exécute des requêtes SQL et soumet à la fonction CryptUnProtectData le cache des mots de passe extraits, pour révéler les identifiants en clair. On vous épargne le processus complet, mais il s'applique aussi, avec des fonctions différentes évidemment, aux autres navigateurs précités.Une fois les noms d'utilisateur, mots de passe et cookies exfiltrés et récupérés, FFDroider envoie tout ça aux hackers via une requête HTTP POST vers un serveur C2 (un serveur de commande et de contrôle, ou C&C). Précisons qu'une requête POST est souvent utilisée pour les formulaires en ligne. Le pirate n'a alors plus qu'à mener son affaire sur les comptes des réseaux sociaux et sites cibles de l'utilisateur, pour lui voler de nouvelles informations, potentiellement plus critiques.
FFDroider ne vise que des sites d'importance où l'on peut retrouver de multiples informations très rapidement : Facebook, Instagram, Amazon (le nom de domaine français fait partie de la liste), eBay, WAX Cloud Wallet, Twitter ou encore Etsy. Les réseaux sociaux et les sites de e-commerce sont privilégiés, car ils regorgent de données, et l'on peut typiquement y retrouver des traces bancaires. Sur Facebook (ou Instagram) par exemple, le pirate peut s'emparer des informations de paiement contenues dans le Facebook Ads-manager, le gestionnaire de publicités du réseau social.Le cycle d'attaque de Spyware.FFDroider © Zscaler ThreatLabzConcernant Facebook plus particulièrement, le malware sait que les cookies sont relus par ces derniers. Il vérifie donc s'il peut s'authentifier à l'aide des cookies dérobés. S'il y parvient, il envoie une requête GET (qui est un peu l'ancêtre des requêtes HTTP) qui lui permet de récupérer les paramètres du compte compromis. Cette manœuvre l'aide à vérifier si l'utilisateur dispose d'un accès au gestionnaire de publicités Facebook, où se trouvent les fameuses informations bancaires.Dans tous les cas, la force de FFDroider est de réussir à s'ajouter à la liste blanche du pare-feu Windows, afin d'obtenir toutes les autorisations et d'être copié là où il le souhaite.Plusieurs campagnes de diffusion du spyware ont été observées ces dernières semaines. Elles invitent à la prudence.