L'équipe de chercheurs cyber de ThreatLabz a tout récemment identifié ce nouveau spyware fondé sur Windows qui fait fureur en dérobant des identifiants, mais aussi les cookies générés depuis votre ordinateur. Pour ce faire, le malware cible principalement des réseaux sociaux ou des sites connus du grand public en se faisant passer pour l'application Telegram. Il peut ensuite prendre le contrôle des comptes et accéder à de nombreuses informations, comme certaines données de paiement. Voyons quels réseaux et plateformes sont ciblés, et comment fonctionne réellement ce spyware qui inquiète.
La version analysée par l'équipe Zscaler ThreatLabz nous montre un logiciel malveillant qui se fait passer pour un installateur de Telegram. Celui-ci prend la forme de la messagerie instantanée dans sa version de bureau Windows de l'application. Cet installateur, qui contient donc le spyware FFDroider, se retrouve sur différents sites de téléchargement illégaux de jeux ou de logiciels gratuits, que l'on ne peut que vous déconseiller de visiter et d'utiliser.Une fois installé sur l'ordinateur désormais infecté, FFDroider démarre sa petite routine en volant des cookies et identifiants enregistrés dans différents navigateurs. Google Chrome et tous les navigateurs de la famille Chromium, Mozilla Firefox, Internet Explorer et Microsoft Edge, sont ses cibles de prédilection. Pour chacun d'entre eux, le spyware a ses propres spécificités. Par exemple, pour les navigateurs fondés sur l'architecture Chromium, il pioche dans les différents magasins SQLite, exécute des requêtes SQL et soumet à la fonction CryptUnProtectData le cache des mots de passe extraits, pour révéler les identifiants en clair. On vous épargne le processus complet, mais il s'applique aussi, avec des fonctions différentes évidemment, aux autres navigateurs précités.Une fois les noms d'utilisateur, mots de passe et cookies exfiltrés et récupérés, FFDroider envoie tout ça aux hackers via une requête HTTP POST vers un serveur C2 (un serveur de commande et de contrôle, ou C&C). Précisons qu'une requête POST est souvent utilisée pour les formulaires en ligne. Le pirate n'a alors plus qu'à mener son affaire sur les comptes des réseaux sociaux et sites cibles de l'utilisateur, pour lui voler de nouvelles informations, potentiellement plus critiques.
FFDroider ne vise que des sites d'importance où l'on peut retrouver de multiples informations très rapidement : Facebook, Instagram, Amazon (le nom de domaine français fait partie de la liste), eBay, WAX Cloud Wallet, Twitter ou encore Etsy. Les réseaux sociaux et les sites de e-commerce sont privilégiés, car ils regorgent de données, et l'on peut typiquement y retrouver des traces bancaires. Sur Facebook (ou Instagram) par exemple, le pirate peut s'emparer des informations de paiement contenues dans le Facebook Ads-manager, le gestionnaire de publicités du réseau social.