D'après ESET, un malware a réussi à voler les identifiants de connexion de plus de 16.000 utilisateurs Facebook. L'objectif du malware était de récupérer ces informations et de les lier aux statistiques utilisateurs des joueurs de Texas HoldEm Poker (jeu de Poker gratuit accessible en ligne via FB). Les systèmes de détection d'ESET ont montré que la menace s'est propagée presque exclusivement en Israël. A noter, toujours selon l'éditeur, que l'application cible est fondée sur un logiciel légitime et très populaire signé de l'éditeur Zynga Inc. Selon le site de référence des applications Facebook AppData, ce jeu de poker dispose d'une audience mensuelle de 35 millions d'utilisateurs actifs.
ESET a commencé à étudier ce cheval de Troie début 2012. Comme les statistiques de détection ont montré que la menace était diffusée principalement en Israël, ESET a contacté l'organisme israélien CERT (Computer Emergency Response Team) ainsi que la police israélienne début 2012. Pendant l'enquête, l'éditeur ne pouvait pas fournir publiquement de détails sur cette menace, mais aujourd'hui le malware a été désactivé.
L'attaquant a utilisé le logiciel malveillant pour obtenir des informations d'identification de l'utilisateur lors de l'ouverture de la session Facebook, son score dans le jeu, ainsi que des informations sur le montant en cartes de crédit enregistré dans ses paramètres Facebook et disponible pour augmenter sa mise dans le jeu de poker. Le jeu possède une fonctionnalité qui permet la reconstitution de la valeur du jeton en argent réel en saisissant les détails de la carte de crédit ou du compte PayPal. Pour obtenir des informations d'identification d'utilisateurs, une armée de 800 ordinateurs a été utilisée – tous infectés et contrôlés par l'attaquant. Ces machines ont exécutés des commandes à partir du serveur de C & C (Command & Control). Le créateur de la menace a lancé une attaque en utilisant les identifiants de connexion de plusieurs comptes FB, qui ont été acquis à l'avance.
« Pour se protéger contre des attaques reposant sur des méthodes d'ingénierie sociale, une bonne solution de sécurité n'est pas suffisante. Les utilisateurs doivent rester vigilant face à toutes formes de stratagèmes comme celui-ci », déclare Robert Lipovsky, responsable de l'équipe ESET Security Intelligence. Il ajoute « L'utilisateur doit pouvoir reconnaître la fausse page de connexion FB en vérifiant l'adresse URL du site. »
Les ordinateurs infectés ont reçu une commande pour ouvrir une session dans les comptes FB de l'utilisateur et acquérir un score utilisateur du jeu Texas HoldEm, ainsi que la quantité de cartes de crédit enregistrées dans son compte FB. Dans le cas d'un utilisateur avec une carte de crédit affichant un faible score, l'ordinateur infecté reçoit des instructions pour infecter le profil de la victime FB avec un lien vers un site de phishing. Ce site a agi directement ou indirectement pour attirer les amis du joueur FB vers un site ressemblant à la page d'accueil FB. Dans le cas où les informations d'identification ont été saisies par eux, elles ont également été récoltées par l'attaquant. Lors de l'analyse de ce botnet, ESET estime que l'attaquant a pu accéder à un total de 16.194 identifiants de connexion. ESET souhaite mettre en garde la communauté FB sur la probabilité que d'autres applications FB auraient pu être infectées de cette manière, pas seulement ce jeu de poker.
Ce piratage est sans rapport avec l'infection par un malware dont Facebook, a été victime récemment.
