Facebook Messenger touché par un mineur de cryptomonnaie

Facebook Messenger est souvent la cible d’attaques et il arrive ainsi régulièrement que des malwares soient distribués par le biais de la solution de messagerie. Ce n’est visiblement pas sur le point de changer.

En observant les échanges effectués au sein de la plateforme, des experts en sécurité ont en effet découvert un nouveau type de malware en circulation, un malware se rangeant dans la catégorie des mineurs de cryptomonnaies.

facebook-wifi

Peu présent en Europe pour le moment, ce programme malveillant serait surtout présent en Corée du Sud, au Vietnam, aux Philippines, en Thaïlande, au Venezuela, en Ukraine ou encore en Azerbaijan.

Facebook Messenger de nouveau attaqué par un firmware

Pour le moment, l’identité ou même la nationalité de ses concepteurs reste un mystère.

Contrairement aux malwares habituels, Digmine n’a pas pour but de rendre la machine des victimes instables ou même d’afficher des publicités, mais plutôt de faire de l’argent sur le dos des processeurs des ordinateurs infectés en minant des cryptomonnaies pour le compte de ses créateurs.

Digmine cible uniquement la version desktop de Facebook Messenger pour le moment et le programme se répand toujours de la même manière.

Après avoir infecté un compte, le malware va en effet envoyer un fichier vérolé à ses contacts – le plus souvent sous la forme d’une vidéo – pour tenter d’infecter de nouveaux comptes et de nouvelles machines. Une fois en place, l’outil lancera automatiquement un mineur au démarrage de l’ordinateur et il commencera à miner du Monero à l’insu de l’utilisateur.

Un programme bien pensé

Les concepteurs de Digmine ont en outre opté pour une architecture de type C&C et le code source du programme est ainsi chargé depuis un serveur faisant office de centre de commande. Grâce à cette astuce, les personnes à l’origine du programme ont la possibilité de changer son code source à la volée et de le mettre à jour en toute transparence et sans nécessiter une nouvelle infection.

Pour fonctionner, le programme s’appuie essentiellement sur une extension développée pour Chrome, une extension installée elle aussi à l’insu du propriétaire de la machine infectée. Il est également capable de modifier le registre afin de se lancer automatiquement au démarrage de l’ordinateur.

Facebook a été mis au courant de l’existence de ce malware. L’entreprise a supprimé plusieurs liens infectés, mais il est évidemment préférable de rester prudent et de ne pas cliquer sur tout ce que vous font parvenir vos proches par messagerie privée.