Les publicités Facebook diffusent des logiciels malveillants qui volent des mots de passe

L’attrait pour les derniers outils d’IA est universel et les cybercriminels profitent de cet enthousiasme. Proposer ChatGPT, Bing ou Google Gemini (ancien Google Bard) avec des fonctionnalités améliorées est devenu un thème récurrent dans les campagnes de phishing. Ces campagnes sont de plus en plus sophistiquées et intègrent de multiples techniques, outils et services réputés pour contourner la plupart des méthodes de détection. Cependant, leur objectif reste le même : inciter les gens à télécharger des logiciels malveillants ou à donner les mots de passe de leurs comptes. Le DNS de protection Whalebone offre ici la solution.

Une façade convaincante qui cache un programme d’installation malveillant

Cette menace particulière prend l’apparence de Google Gemini (ancien Google Bard) et se fait passer pour une publicité payée sur Facebook. En outre, des comptes robots dans la section des commentaires favorisent la diffusion du message. La page web a été créée à l’aide de Google Sites, ce qui lui donne une apparence crédible et l’associe à un domaine Google légitime.

Cependant, le lien de téléchargement sur le site dirige les utilisateurs vers un fichier hébergé sur Trello, qui finit par produire un programme d’installation malveillant. Des publicités sponsorisées sur Facebook diffusent des logiciels malveillants qui volent des mots de passe déguisés en Google Gemini.

Le nom du fichier est à lui seul révélateur

Le logiciel malveillant est exceptionnellement évasif et n’est actuellement pas détecté par les programmes antivirus. Toutefois, le nom du fichier peut être révélateur avant l’installation : alors que la page annonce Gemini, le programme d’installation installe Meta Ads Manager.

Une extension de navigateur trompeuse pour semer la panique

Après avoir terminé l’installation, qui sert essentiellement d’écran de fumée, le logiciel malveillant met en œuvre une extension de navigateur malveillante déguisée en “Google Translate” et demande une page de connexion à Facebook. Cela lui permet de voler votre mot de passe, votre session de connexion et toutes les données que vous saisissez par la suite dans le navigateur.

Pour collecter les données, le logiciel malveillant s’appuie sur des domaines hébergés sur Firebase. Ces domaines sont effectivement bloqués par le DNS protecteur de Whalebone. Par conséquent, même si le système antivirus ne détecte pas l’installateur, vos mots de passe restent hors de portée de l’attaquant lorsqu’ils sont protégés par des produits de sécurité basés sur Whalebone.

Vous avez encore des questions? 

N’hesitez pas à contacter à l’adresse sales@kappadata.be et nous nous ferons un plaisir de vous aider!