Arnaque support téléphonique (virus zeus et #DW6VB36) sur Facebook

[xumi]

Saut

Depuis quelque jours, sur mon compte Faceboock, quant je clique sur une publicité qui se trouve sur le coté, j'ai ca qui s'affiche :

Le virus Zeus ou erreur #DW6VB36 a été détecté par Windows suivi d'un numéro de téléphone à appeler 09 75 18 82 63.

2017-01-06_10h50_17.png

J'ai réparé mon Firefox 50.1.0 (par Informations de dépannage) mais toujours pareil. J'ai fai un scan avec Farbar Recovery Scan Tool. Voici les logs :

- FRST.txt
- Addition.txt

Merci d'avance pour votre aide.

[Malekal_morte]

Salut,

Ca vient de la publicité sur facebook, pas de ton ordinateur.
Tu peux la montrer et donner le lien ici pour voir.

Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans l'idée que ton ordinateur est infecté, ici en te faisant croire que tu es infecté par le virus Zeus...
Le but final est de te mettre en relation avec un technicien qui va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent essentiellement de publicités sur des sites de streaming/torrent illégaux.
Là apparemment, y en a aussi sur Facebook.

[xumi]

Merci pour ta réponse. Je ne savais pas trop si mon ordi était infecté ou pas, car j'avais justement vue que ça pouvait arriver sans que l'on soit infecté par une m..de qui fait apparaitre se genre de message. Donc ça ne dérange pas Facebook que ce genre de pub soit présente sur leur site du moment que les entreprises paye...

Ce que tu me demande c'est que lorsque ca m'arrive, c'est de fermer les fenêtres qui apparaissent de faire une copie écran de la pub sur laquel j'ai cliquer et de te donner le lien se trouvant sur cette pub ?

[Malekal_morte]

il y a des précédents : Attention aux arnaques de support téléphonique sur Facebook

Il faudrait les prévenir mais comme c'est compliqué de les contacter...
Aussi, si tu avais la pub et l'URL pour voir... ce serait pas mal.

[xumi]

Ok je te fait ça quant ça me recommence.

[Malekal_morte]

Tu te souviens de quoi parlait la pub ?
Le thème ?

[devadip]

slt
un des thèmes est "hommage à Michel cymes". quand tu clic dessus il y a la fenêtre disant que tu as choper le virus zeus

j'ai ça comme lien: hxxp://twimflp.com/ads-03/
et ça (hommage à Claire Chazal) : hxxp://l.facebook.com/l.php?u=http%3A%2F%2Factulist.com%2Fadv1%2F&h=ZAQFSU0Hb&enc=AZPzC3abcecNee00Pno7NPrt79VUHY5utzIxGN9SEI1IMZRZRyRsD7k0A5dse4GxFLDoRCkqXOpYiw4YiEjJ9jAcmu_NDqeYu2u5uqXVFBS4AczmzVbf8ug2T8tCNwpKZw55PdTWZ2urqO7P44V-kVkPcr_IizZN4EHosph_hlbneGKGDiiSy1dzOsniBXmHWuAjQFACkwHklQ93XbJJRbFt&s=1&sig=114707

j'ai l'impression que tous les "hommages à ..." envoie directement vers ce type de lien

[devadip]

j'ai re-testé les liens que j'ai mis (sur un autre PC) mais ils ne renvoie plus à la page pour dire que tu t'es chopé un virus

[Malekal_morte]

Merci pour les infos, je vais les blacklister et signaler en espérant que ça cesse...
Mais bon ça reviendra probablement.. vu que ce n'est pas la première fois.

Code : Tout sélectionner

00:00:35.541	0.006	1571	0	POST	(Aborted)	NS_BINDING_ABORTED	https://www.facebook.com/si/linkclick/interstitial_callback/?dpr=1
00:00:35.547	0.211	937	0	GET	302	Redirect (cached)	http://l.facebook.com/?u=http%3A%2F%2Factulist.com%2Fadv1%2F&e=ATM6WvCAEByv0tSFIytVadV84xEt3HCORxQfhC97arzKvZDzxW5MqZJxyUoXsAkYTDQ37jrFHoc0YrBHh7LL3RuS9v4Eo1lECA
00:00:35.759	0.683	316	0	GET	302	Redirect (cached)	http://actulist.com/adv1/
00:00:36.442	0.094	415	240	GET	200	text/html	http://propc.online/index-new.php?u=fr
00:00:36.578	0.016	289	0	GET	(Aborted)	NS_BINDING_ABORTED	http://propc.online/favicon.ico
00:00:36.594	0.035	373	301	GET	404	text/html	http://propc.online/favicon.ico
00:00:36.598	0.184	296	(0)	GET	(Cache)	text/html	http://scansecure21.online/virus-alerte/
00:00:36.600	0.072	373	301	GET	404	text/html	http://propc.online/favicon.ico
00:00:36.735	0.018	329	(0)	GET	(Cache)	application/javascript	https://code.jquery.com/jquery-2.2.1.min.js
00:00:36.782	0.021	280	(4254)	GET	(Cache)	text/javascript	http://s10.histats.com/js15_as.js
00:00:36.788	0.038	450	474996	GET	206	audio/mpeg	http://scansecure21.online/virus-alerte/1.mp3
00:00:36.803	0.313	559	490	GET	200	text/html	http://s4.histats.com/stats/0.php?3612211&@f16&@g1&@h1&@i1&@j1484202515200&@k0&@l1&@m***%20S%C3%A9curit%C3%A9%20Code%20d%27erreur%200x80070424&@n0&@o1000&@q0&@r0&@s0&@tfr&@u1280&@vhttp%3A%2F%2Fscansecure21.online%2Fvirus-alerte%2F&@w
00:00:37.117	0.301	419	(0)	GET	(Cache)	application/x-javascript	http://e.dtscout.com/e/?v=1a&pid=5200&site=1&l=http%3A%2F%2Fscansecure21.online%2Fvirus-alerte%2F&j=
00:00:37.418	0.160	818	263	GET	200	image/gif	http://bcp.crwdcntrl.net/map/c=3825/tp=DTSC/tpid=2DE7B66B86447658E0621072023C121A
00:00:37.421	10.410	516	(62)	GET	(Cache)	image/gif	http://tags.bluekai.com/site/27675?id=2DE7B66B86447658E0621072023C121A&ret=html&phint=__bk_t%3D***%20S%C3%A9curit%C3%A9%20Code%20d%27erreur%200x80070424&phint=__bk_l%3Dhttp%3A%2F%2Fscansecure21.online%2Fvirus-alerte%2F&r=76572758
00:00:37.423	0.275	400	(0)	GET	(Cache)	application/javascript	http://t.dtscdn.com/widget/?d=2DE7B66B86447658E0621072023C121A&p=-1518758892&t=-60&s=1280x1024x24&u=http%3A%2F%2Fscansecure21.online%2Fvirus-alerte%2F&r=
00:00:59.731	0.989	4763	190	POST	200	text/plain	https://incoming.telemetry.mozilla.org/submit/telemetry/db6df858-daf6-4713-a5f8-57ce98f98050/main/Firefox/47.0.2/release/20161031133903?v=4
00:00:59.740	1.226	4740	190	POST	200	text/plain	https://incoming.telemetry.mozilla.org/submit/telemetry/318f2cfc-a204-4684-8840-f06b699aae57/main/Firefox/47.0.2/release/20161031133903?v=4
00:01:00.201	0.058	449	721	POST	200	application/ocsp-response	http://ocsp.digicert.com/
00:01:00.299	0.950	471	945	GET	200	text/xml	https://aus5.mozilla.org/update/3/GMP/47.0.2/20161031133903/WINNT_x86-msvc-x86/fr/release/Windows_NT%206.1.1.0%20(x86)/default/default/update.xml
00:01:00.489	0.036	433	300329	GET	206	application/octet-stream	http://download.cdn.mozilla.net/pub/firefox/releases/50.1.0/update/win32/fr/firefox-47.0.2-50.1.0.partial.mar
00:01:00.986	0.263	449	721	POST	200	application/ocsp-response	http://ocsp.digicert.com/
00:02:00.729	0.027	433	300329	GET	206	application/octet-stream	http://download.cdn.mozilla.net/pub/firefox/releases/50.1.0/update/win32/fr/firefox-47.0.2-50.1.0.partial.mar

Le numéro de téléphone du support téléphonique : 09 75 18 82 63

tech_scam_facebook.png

y en a plein en fait...

hxxp://actulist.com/adv1/
hxxtp://hebdo-actu.com/ad-s1/
hxxp://twimflp.com/ads-03/

facebook_tech_scam_2.png

Le numéro de téléphone de l'arnaque : 09 75 18 82 63

facebook_tech_scam_3.png

J'ai signalé à Avast! qui a bloqué les domaines :

facebook_virus_zeus_bloque_avast.png

Les tweets sur cette campagne de malvertising "virus zeus" sur Facebook

Signaler ces publicités à Facebook

Je rappelle qu'il est possible de masquer ces publicités et les signaler à Facebook.

Pointez la souris en haut à droite de la publicité en question.
Choisissez "Masquer la publicité"

bloquer_publicite_facebook.png

Comme raison, indiquez "contenu malicieux"

bloquer_publicite_facebook_2.png

EDIT - Mai 2017 toujours des publicités malveillantes sur Facebook

Cette édition a lieu le 22 mai alors que le sujet initial est de Janvier et que ces publicités malveillants sur Facebook redirigeant vers des arnaques de support téléphoniques continuent de pulluler.

Les auteurs ont une infrastructure plus ou moins automatisée qui est assez classique.
Des domaines sont enregistrés sur Clouflare afin de rendre le suivi plus difficile (Clouflare masquant les whois et ayant des IPs uniques - plusieurs milliers de sites utilisent ces dernières).

Facebook-tech-scam-malvertising-domain.png

Facebook-tech-scam-malvertising-domain-1.png

Les publicités sont ensuite soumises à Facebook avec des redirections légitimes.
Ainsi, si Facebook effectue des vérifications lors de cette soumission "tout va bien, ce n'est pas malveillant".
Les scanners automatisés comme VirusTotal enregistre cette redirection légitime.

Facebook-tech-scam-malvertising-legit-redirection.png

Facebook-tech-scam-malvertising-domain-2.png

Une fois la publicité en place sur Facebook, les auteurs attentent un peu puis modifie la redirection vers la page des arnaques de support téléphoniques (landing) côté serveur.
Cette redirection change périodiquement afin que les listes noires ne puissent être trop menaçantes.
Cette modification se fait de manière automatisée.

Facebook-tech-scam-malvertising-bad-redirection.png

Facebook-tech-scam-malvertising-techscam.png

Exemple de détection de l'URL sur VirusTotal :

Facebook-tech-scam-malvertising-techscam-VT.png

[Malekal_morte]

hxxp://actu.com-vnv.com/1 aussi..
En plus là, y a écrit 20minutes.fr

facebook_zeus_virus.png

[Malekal_morte]

hxxp://actu-europe.com/camp1/
hxxp://25608498.com/

Le virus Zeus a été détecté par Windows suivi d'un numéro de téléphone à appeler 09 77 55 88 26.

[devadip]

slt
le N° de téléphone à appeler est vraiment gratuit ou il est surtaxé? (ce qui ferait une double arnaque)

[Malekal_morte]

Normalement non, les numéros surtaxé commencent par 08.

[Malekal_morte]

Les dernières :
hxxp://www.gratodino.com/1/
hxxp://actualite-2017.com/actu1/
hxtp://actu-liste.com/actu1/
hxtp://active-buzz.com/ad-s1/
hxxp://com-uknewsnow.com/

Hommage de Michel
Hommage de Jean-Luc

tech_scam.png

[xumi]

slt
un des thèmes est "hommage à Michel cymes". quand tu clic dessus il y a la fenêtre disant que tu as choper le virus zeus

j'ai ça comme lien: hxxp://twimflp.com/ads-03/
et ça (hommage à Claire Chazal) : hxxp://l.facebook.com/l.php?u=http%3A%2F%2Factulist.com%2Fadv1%2F&h=ZAQFSU0Hb&enc=AZPzC3abcecNee00Pno7NPrt79VUHY5utzIxGN9SEI1IMZRZRyRsD7k0A5dse4GxFLDoRCkqXOpYiw4YiEjJ9jAcmu_NDqeYu2u5uqXVFBS4AczmzVbf8ug2T8tCNwpKZw55PdTWZ2urqO7P44V-kVkPcr_IizZN4EHosph_hlbneGKGDiiSy1dzOsniBXmHWuAjQFACkwHklQ93XbJJRbFt&s=1&sig=114707

j'ai l'impression que tous les "hommages à ..." envoie directement vers ce type de lien

Désolé pour le retard de ma réponse. Effectivement, maintenant que tu le dit c’était bien des hommages à quelqu'un. Je ne me souviens plus de qui.

Confirmez moi que c'est des pubs qui sont mise là car ces sociétés on payé Facebook pour que leurs pubs apparaissent à cet endroit.