Radware empresa de seguridad cibernética han descubierto una nueva campaña de malware en Facebook que ha robado las credenciales de cuenta e instalado scripts en víctima equipos para explotación minera de cryptocurrency. Llamado Nigelthorn, la campaña viral ha sido activa desde marzo de 2018 y ha infectado a más de 100.000 usuarios a nivel mundial. Abusa de una extensión de Google Chrome legítimo Nigelify, que reemplaza a imágenes de la web con fotos de Nigel Thornberry, personaje de televisión de dibujos animados el Thornberrys salvaje, de ahí el nombre Nigelthorn.
La campaña de malware intenta engañar a los usuarios a descargar malware que secuestrar las cuentas y la mina de cryptocurrency.
¿Por qué los usuarios infectados?
Enlaces a la infección se propagan a través de mensajes y mensajes en Facebook, y cuando los usuarios haga clic en ellos, son llevados a un falso sitio web de YouTube. Luego aparece una ventana emergente pide añadir una extensión de Google Chrome para reproducir el vídeo. Si el usuario hace clic en “Add extension”, el malware se instala en el ordenador. Radware señala que la campaña parece concentrarse en Chrome de los navegadores, por lo que los usuarios con otros navegadores no deben ser en riesgo.
El usuario infectado empieza entonces separarse sin saberlo el malware a través de mensajería de Facebook o un post nuevo con las etiquetas de hasta 50 contactos. Cuando alguien presiona en el enlace, el proceso comienza otra vez.
El malware tiene que saltarse las comprobaciones de validación de Google y según Radware, hacer que los operadores de campaña crearon copias de extensiones legítimas e inyección un cortocircuito, ofuscado script malicioso para iniciar la operación de malware. La firma de seguridad ha observado que ha habido siete de estas extensiones maliciosas, cuatro de los cuales ya han sido bloqueados por Google.
Capacidades de malware
El malware puede robar las credenciales de inicio de sesión de Facebook y las galletas de Instagram.
“Inicio de sesión se produce en la máquina (o una galleta de Instagram se encuentra), se enviará a la C2. Entonces se redirige al usuario a la API de Facebook para generar un token de acceso que también se enviará a la C2 si tiene éxito. Se generan fichas de acceso de Facebook los usuarios autenticados y comienza la fase de propagación. El malware recopila información de la cuenta correspondiente con el fin de difundir el enlace malicioso a la red del usuario.” Radware, explica.
La empresa de seguridad también señala que también se descarga una herramienta cryptomining, y los atacantes intentaban mina tres monedas diferentes, Moneo, Bytecoin y Electroneum.
“Los atacantes utilizan una herramienta de minería de navegador disponible al público a las máquinas infectadas a iniciar cryptocurrencies de minería. El código JavaScript se descarga desde sitios externos que el grupo controla y contiene la piscina de la minería”.
Los investigadores de la nota firma de seguridad que alrededor de $1000 fue minado en seis días.
Protegerse contra tal malware
Facebook se utiliza para difundir algún tipo de malware no es nada nuevo. Sin embargo, muchos usuarios siguen sin saber que hacer clic en un enlace extraño enviado por un contacto posiblemente podría conducir a una infección de malware. Mientras que Facebook es generalmente rápida quitar enlaces maliciosos de los mensajes y los mensajes, es todavía no con la rapidez suficiente para prevenir la infección del 100%.
Sin embargo, hay usuarios de una cosa pueden hacer para no infectar sus ordenadores con apoderarse de sus cuentas de redes sociales y que es no hacer clic en vínculos extraños, incluso si son enviados por un amigo. Otra regla de oro es no instalar extensiones desconocidas. Ha habido bastante similares campañas de malware para los usuarios a entender que no debe instalar extensiones al azar sólo porque aparece una petición local.