Dans un récent blogpost, les chercheurs de Proofpoint mettent en avant la découverte de publicités dangereuses sur Twitter. L'attaque combine des publicités malveillantes, de fausses pages de médias sociaux et des applications malveillantes qui font passer d’une simple publicité de promotion à une infection et au vol des données Facebook de l’utilisateur.

Les principaux points mis en avant dans ce blogpost peuvent être retrouvés ci-dessous :

- L’attaque commence quand une carte Twitter de promotion est envoyée, avec une fausse vidéo, sur le compte Twitter d’un utilisateur. Cliquer sur la carte Twitter ouvre une fausse page Facebook pour un autre compte d’utilisateur.

Si l’utilisateur se sert d’un autre navigateur que Google Chrome pour naviguer, en cliquant sur la carte Twitter, il ouvre une vidéo non existante sur YouTube si l’adresse IP du client est connue ; si l’adresse IP du client est inconnue c’est un faux réseau social pour adulte (une escroquerie) qui s’ouvre.

- (Une fois infecté) l’utilisateur ne remarque rien d’anormal sur son poste lui indiquant avoir été infecté. Contrairement à un site internet de hameçonnage (phishing) des données, quand la forme du login ne fonctionne pas ‘vraiment’. Avec Webinject, l’utilisateur pourra s’identifier, avec succès, à sa première tentative.

- Alors que l’objectif immédiat est de voler des données Facebook à l’utilisateur ciblé, le fait que le Webinject est téléchargé à partir d’un serveur à distance signifie qu’à tout moment il peut être modifié pour réaliser d’autres actions.

- Afin de se prémunir contre ce type de menaces, les utilisateurs devraient rester méfiants à l’égard des contenus promotionnels sur leurs réseaux sociaux et faire preuve d’une extrême prudence quand ils sont invités à installer des applications nouvelles ou inconnues pour voir des contenus en ligne.

Des exemples de ce type d’attaque sont certes rares, mais il est probable qu'elles augmentent avec des pirates qui s'invitent de plus en plus sur les réseaux sociaux.