Radware ferme la cybersécurité ont découvert une nouvelle campagne de malware sur Facebook qui a volé des informations d’identification de compte et installé des scripts sur les ordinateurs de la victime afin de mine pour cryptocurrency. Nommé Nigelthorn, la campagne de malware est active depuis mars 2018 et a infecté plus de 100 000 utilisateurs dans le monde. Il insulte un prolongement légitime Google Chrome Nigelify, qui remplace les images web avec des photos de Nigel Thornberry, le personnage de série télévisée de dessin animé la famille Delajungle, d’où le nom de Nigelthorn.
La campagne de malware vise à inciter les utilisateurs à télécharger des logiciels malveillants qui piratent des comptes et le mien pour cryptocurrency.
Comment les utilisateurs s’infecter ?
Liens vers l’infection sont propagent par l’intermédiaire de messages et de messages sur Facebook, et lorsque les utilisateurs cliquent sur eux, ils sont conduits dans un faux site YouTube. Une fenêtre contextuelle s’affiche alors vous invite à ajouter une extension de Google Chrome pour lire la vidéo. Si l’utilisateur clique sur « Ajouter l’extension », le logiciel malveillant s’installe sur l’ordinateur. Radware note que la campagne semble se concentrer sur les navigateurs Chrome, donc les utilisateurs à l’aide d’autres navigateurs ne devraient pas être en péril.
L’utilisateur infecté commence alors à répandre involontairement le malware via Facebook Messenger ou un nouveau poste avec des balises pour jusqu’à 50 contacts. Lorsqu’un utilisateur appuie sur le lien, le processus recommence.
Le logiciel malveillant a contourner les contrôles de validation de Google et selon Radware, faire que les opérateurs de la campagne créé des copies des extensions légitimes et injecté un court, obscurcis script malveillant pour démarrer l’opération de malware. Le cabinet de sécurité a constaté qu’il y a eu sept de ces extensions malveillantes, dont quatre ont été bloqués depuis par Google.
Capacités de Malware
Le logiciel malveillant peut voler les identifiants Facebook et Instagram cookies.
« Si la connexion se produit sur la machine (ou un cookie Instagram est trouvé), il sera envoyé au C2. L’utilisateur est alors redirigé vers un API de Facebook pour générer un jeton d’accès qui sera également envoyé au C2 en cas de succès. Jetons d’accès des utilisateurs authentifiés Facebook sont générés et commence la phase de propagation. Le malware recueille des informations de compte dans le but de répandre le lien malveillant au réseau de l’utilisateur. » Radware explique.
Le cabinet de sécurité fait également remarque qu’un outil de cryptomining est aussi téléchargé, et les assaillants avaient tenté de mine trois pièces différentes, Monero, Bytecoin et Electroneum.
« Les attaquants utilisent un outil d’exploration de navigateur accessible au public pour obtenir les machines infectées pour démarrer l’extraction cryptocurrencies. Le code JavaScript est téléchargé depuis les sites externes que le groupe contrôle et contient le bassin minier. »
Les chercheurs de la note de ferme de sécurité qui, autour de 1000 $, a été exploité en six jours.
Protégez-vous contre les logiciels malveillants
Facebook étant utilisé pour propager une sorte de malware n’est pas nouveau. Cependant, beaucoup d’utilisateurs encore ignorent qu’en cliquant sur un lien étrange envoyé par un contact pourrait éventuellement conduire à une infection de logiciels malveillants. Alors que Facebook est généralement rapide pour supprimer des liens malveillants de messages et de messages, il ne suffit toujours pas rapidement prévenir l’infection 100 %.
Néanmoins, il y a une chose les utilisateurs peuvent faire pour ne pas infecter leur ordinateur et ont leurs comptes de médias sociaux prendre le relais, et c’est de ne pas cliquer sur des liens étranges, même lorsqu’ils sont envoyés par un ami. Une autre règle d’or est de ne pas installer des extensions inconnues. Il y a eu des campagnes malware assez similaires pour les utilisateurs à comprendre qu’ils ne devraient pas installer extensions aléatoires juste parce qu’une demande de pop-up s’affiche.