Selon les chercheurs en sécurité du vendeur de solutions antivirus F-Secure, des escrocs ont entrepris de rediriger les victimes qu'ils ciblent sur le réseau social Facebook vers les services cloud d'Amazon, afin de contourner les filtres qui bloquent les URL malveillantes.

Les chercheurs de F-Secure ont récemment analysé de près un faux sondage lancé sur Facebook, utilisant des extensions de navigateur trafiquées pour détourner des comptes Facebook et envoyer des messages spam sur les murs des victimes. Les messages contiennent des URL raccourcies Bit.ly qui en apparence redirigent vers des vidéos soi-disant intéressantes. En réalité, ces liens pointent vers des scripts hébergés sur le service de stockage Amazon Simple Storage Service, lesquels renvoient les victimes vers une fausse page Facebook.

La page en question affiche l'image d'un lecteur vidéo, qui, lorsqu'elle est cliquée, fait apparaître une autre fenêtre qui invite les utilisateurs à participer à un sondage. Chaque utilisateur qui accepte de se prêter au jeu fait en réalité gagner de l'argent aux escrocs grâce à des programmes d'affiliation marketing. L'escroquerie est disséminée via de fausses extensions pour les navigateurs Google Chrome et Firefox, que les arnaqueurs font passer pour des mises à jour du lecteur YouTube. Les utilisateurs sont invités à télécharger et à installer ces fausses mises à jour afin de pouvoir regarder les vidéos sur lesquelles ils ont cliquées.

Bénéficier de la côte confiance d'Amazon

Selon Mikko Hypponen, patron de la recherche chez F-Secure, les escrocs ont choisi de rediriger les utilisateurs vers le cloud d'Amazon parce que le nom de domaine et l'adresse IP du S3 bénéficient d'une côte de confiance élevée et cela augmente leurs chances de tromper les filtres URL, comme ceux utilisés par Bit.ly ou Facebook. La technique qui consiste à utiliser des liens vers Amazon S3 dans les escroqueries qui touchent Facebook est relativement nouvelle. Cependant, l'hébergement de logiciels malveillants sur ce service cloud populaire n'est, lui, pas nouveau. Notamment parce que les services d'hébergement Amazon S3 ne sont pas très chers et que beaucoup de cybercriminels sont en mesure de les payer pour les utiliser.

Néanmoins, comme l'explique le chercheur, il y a différentes pratiques en la matière. « Certains cybercriminels préfèrent voler les informations de connexion de clients existants du service de stockage d'Amazon pour abuser de leurs comptes. D'autres utilisent exclusivement des comptes appartenant à d'autres personnes. D'autres encore créent de nouveaux comptes, mais en utilisant des cartes de crédit volées. Enfin, certains créent des comptes valides et payent l'abonnement pour les cybercriminels, » a déclaré Mikko Hypponen.