Trend_Micro_fakeyoutubesite Le ver Koobface qui a déjà fait parler de lui fin 2008 n'est apparemment pas décidé à quitter le monde des réseaux sociaux. Selon l'éditeur de solutions de sécurité Trend Micro, la menace a repris vie et forme sous les traits d'une nouvelle variante. Une nouvelle variante mais pas vraiment d'originalité avec une recette appliquée qui reste la même.


Un ami pas digne de confiance
Trend Micro a notamment eu vent de la menace sur Facebook via un message envoyé par un ami et contenant un lien, il va de soi malveillant qui conduit sur un site aux allures de YouTube. Pour tenter de leurrer l'utilisateur pris pour cible, la page sur laquelle il se rend ne se contente pas de reprendre le nom de son ami mais affiche également sa photo, recueillie sur son profil Facebook.

Sur ce site piégé, un bouton pour une installation logicielle (sous Windows) nécessaire à la consultation d'une vidéo permet de rapatrier depuis un autre site un fichier setup.exe qui est donc en réalité la nouvelle variante de Koobface, identifiée par Trend Micro sous son nom de menace Worm_Koobface.AZ. L'éditeur a ainsi mis au jour plus de 300 adresses IP différentes pour conduire à un site hébergeant ce prétendu setup.exe.

Si Trend Micro cite en exemple Facebook, la menace se propage également sur d'autres réseaux sociaux dont MySpace, Bebo ou encore Hi5. Le ver tente quant à lui de se connecter à l'un de ces sites légitimes via les identifiants récupérés dans les cookies, et cherche alors à infecter un nouvel ami auquel est envoyé un message contenant un lien depuis lequel une copie du ver peut être téléchargée. Le ver envoie et reçoit également des informations depuis une machine infectée en se connectant à plusieurs serveurs, ce qui permet aux cybercriminels d'exécuter des commandes.