« »
5/01/2008

Le spyware phishing sur youtube

Quel drôle de titre n'est-ce pas ?

Je lisais tout à l'heure, un billet depuis le blog de béné, lorsque que j'ai trouvé un lien vers un groupe Facebook nommé "c'est toi le groupe", je me connecte donc sur Facebook et apprécie la blague. Dans le Wall j'observe ceci :


En grand curieux, je clique sur le lien, je suis redirigé vers cette page, avec ces 2 boites de dialogues :

Et là, j'ai halluciné, j'ai tout d'abord cru à une faille XSS trouvée dans Youtube, mais après avoir regardé le code puis l'url (oui je sais, normalement c'est l'inverse), je me suis aperçu que ce site n'était qu'une pâle copie de YouTube.

Plusieurs choses choquantes :
  • L'adresse de la page est du type : http://sweet-tube.com/ et l'alerte vient du domaine http://pornwizardry.com.
  • Les personnes qui ont mis ce site en place ont quand même bien travaillé : on constate que le sois disant setup.exe (qui une fois téléchargé à le logo de windows media player) vient d'un domaine http://www.swfcompressor.com/ (en allant directement sur cette adresse, on obtient un jolie 403 Forbidden...)
  • Pourquoi ne pas avoir prolongé le délire et permettre à l'utilisateur de se connecter sur Youtube etc...Car tous les liens de la page pointent vers /backlink.php. C'est dommage, car en plus d'installer un Spyware sur la machine de l'utilisateur, ils auraient pu aussi directement récupérer le mot de passe Youtube/Google (ça peut toujours servir non ?).
Attention donc à ce genre "d'attaque" même si c'est dommage de ne pas avoir la vidéo à la fin (joke).

[MAJ] L'utilisateur iRis nous informe en commentaire qu'il s'agit du Trojan Zlob, merci à lui pour la précision.
« »
 
 
Made with on a hot august night.
http://bit.ly/1II1u5L