Une campagne active de logiciels malveillants vise les utilisateurs de Facebook et de YouTube en exploitant un nouveau voleur d’informations pour détourner les comptes et abuser des ressources des systèmes pour exploiter la crypto-monnaie.
Bitdefender appelle le malware Voleur S1deload pour son utilisation de Techniques de chargement latéral de DLL pour contourner les défenses de sécurité et exécuter ses composants malveillants.
« Une fois infecté, S1deload Stealer vole les informations d’identification de l’utilisateur, émule le comportement humain pour stimuler artificiellement les vidéos et autres engagements de contenu, évalue la valeur des comptes individuels (comme l’identification des administrateurs de médias sociaux d’entreprise), exploite la crypto-monnaie BEAM et propage le lien malveillant vers le abonnés de l’utilisateur », a déclaré le chercheur Bitdefender Dávid ÁCS a dit.
Autrement dit, l’objectif de la campagne est de prendre le contrôle des comptes Facebook et YouTube des utilisateurs et de louer l’accès pour augmenter le nombre de vues et les likes pour les vidéos et les publications partagées sur les plateformes.
On estime que plus de 600 utilisateurs uniques ont été touchés au cours de la période de six mois entre juillet et décembre 2022. La majorité des infections se situent en Roumanie, en Turquie, en France, au Bangladesh, au Mexique, au Pérou et au Canada.
Pour réussir le stratagème, les utilisateurs sont attirés par du contenu sur le thème des adultes via des publications Facebook contenant des liens vers des archives ZIP, qui, une fois extraites, déclenchent une séquence d’infection complexe conduisant au déploiement du logiciel malveillant.
« L’auteur du malware peut donc créer une boucle de rétroaction : plus il peut infecter de PC, plus il peut spammer sur Facebook, plus il peut générer de clics pour infecter plus de PC », a déclaré Bitdefender.
En plus d’être capable de télécharger des modules supplémentaires sur l’hôte compromis, le malware est également responsable du lancement d’un navigateur Chrome sans tête qui utilise une extension pour gonfler artificiellement les vues des vidéos YouTube.
Le voleur capture en outre les informations d’identification et les cookies enregistrés à partir des navigateurs Web, effectue des vérifications de profil Facebook et charge également un cryptojacker qui exploite la crypto-monnaie à l’insu de la victime ou sans son consentement.
Bitdefender a déclaré avoir trouvé des chevauchements d’infrastructure avec un site Web appelé upview[.]nous qui annonce des options pour acheter des vues YouTube, des likes et des abonnés ainsi que des options pour augmenter les likes, les commentaires, les followers et les vues de vidéos sur Facebook.
« Le voleur S1deload a de graves implications sur la vie privée de la victime infectée », a déclaré la société roumaine. « Le logiciel malveillant exfiltre les informations d’identification enregistrées de la victime, y compris les e-mails, les réseaux sociaux ou même les comptes financiers. L’acteur de la menace peut accéder à ces comptes ou les vendre sur le dark web. »