Une campagne de phishing pourrait servir à distribuer le ransomware Locky à travers Facebook Messenger et LinkedIn, selon la firme de sécurité Check Point.
Facebook Messenger est une nouvelle fois utilisé comme un moyen pour propager une attaque, rapporte la firme de sécurité Check Point.
Les utilisateurs touchés reçoivent un fichier image .jpeg via Facebook Messenger, qui apparaît comme une prévisualisation de fichier, et non comme une pièce jointe. S’ils cliquent sur l’image, ils sont invités à sélectionner un répertoire dans lequel télécharger le fichier.
Un double clic sur le fichier sauvegardé libère le célèbre ransomware Locky, qui crypte les fichiers sur les périphériques des utilisateurs, et ne redonne accès qu’après avoir payé une rançon.
Avec Locky, il n’existe aucun moyen de déchiffrer des fichiers sans payer la rançon. Ses créateurs ont aussi récemment changé d’extension de cryptage (.zzzzz), ce qui provoque un téléchargement différent et le rend plus difficilement détectable pour un antivirus.
Dans une vidéo, les chercheurs de Check Point montrent comment un attaquant envoie l’image .jpg infectée via Messenger. Checkpoint n’a pas encore offert d’autres détails à propos de l’attaque, qui semble déjouer les contrôles de sécurité de Facebook.
Dans un article sur ces attaques, les chercheurs de Check Point, Roman Ziakin et Dikla Barda, ont écrit: «Toute l’industrie de la sécurité suit de près la diffusion massive du ransomware Locky via les réseaux sociaux, en particulier dans sa campagne sur Facebook. »
Le post ajoute: « Comme de plus en plus de gens passent du temps sur les réseaux sociaux, les pirates travaillent pour trouver un moyen de sévir sur ces plateformes. Les cybercriminels savent que ces sites sont généralement en« white list », et pour cette raison, ils continuent à trouver de nouvelles techniques afin d’utiliser les réseaux sociaux comme hôtes pour leurs activités malveillantes. «
Pour se protéger de ce type d’attaques, CheckPoint suggère de ne jamais ouvrir une image de fichier avec une extension inhabituelle (par exemple, .SVG, .JS ou .HTA) et d’annuler immédiatement un téléchargement si vous avez cliqué accidentellement sur une image.
