Ασφάλεια στον κυβερνοχώρο σταθερή Radware έχουν ανακαλυφθεί μια νέα εκστρατεία malware στο Facebook που έχει κλαπεί τα διαπιστευτήρια του λογαριασμού και να εγκατασταθεί δέσμες ενεργειών σε υπολογιστές θύμα προκειμένου να εξορύξουν για κρυπτονόμισμα. Ονομασμένο Nigelthorn, την εκστρατεία malware δραστηριοποιείται από Μαρτίου 2018, και έχει μολύνει περισσότερους από 100.000 χρήστες παγκοσμίως. Το καταχρήσεις μια νόμιμη Google Chrome επέκταση Nigelify, το οποίο αντικαθιστά το web εικόνες με εικόνες του Nigel Thornberry, ο χαρακτήρας από καρτούν τηλεοπτική εκπομπή η Άβυσσος, εξού και το όνομα Nigelthorn.
Το κακόβουλο λογισμικό εκστρατεία στοχεύει να ξεγελάσουν τους χρήστες να κατεβάσετε κακόβουλο λογισμικό που θα επισκιάσουν λογαριασμούς, και δική μου για κρυπτονόμισμα.
Πώς οι χρήστες να μολυνθεί;
Συνδέσεις στη μόλυνση είναι εξαπλωθεί μέσω Facebook μηνύματα και δημοσιεύσεις, και όταν οι χρήστες κάνουν κλικ πάνω τους, λαμβάνονται σε έναν ψεύτικο ιστότοπο YouTube. Ζητώντας να προσθέσετε μια επέκταση Google Chrome ώστε να παίξει το βίντεο εμφανίζεται στη συνέχεια ένα αναδυόμενο παράθυρο. Εάν ο χρήστης κάνει κλικ στο «Προσθήκη επέκταση», το κακόβουλο λογισμικό εγκαθιστά στον υπολογιστή. Radware σημειώνει ότι η εκστρατεία φαίνεται να επικεντρωθεί σε Chrome προγράμματα περιήγησης, έτσι ώστε οι χρήστες να χρησιμοποιούν άλλα προγράμματα περιήγησης δεν πρέπει να είναι σε κίνδυνο.
Του μολυσμένου χρήστη ξεκινά στη συνέχεια εν αγνοία τους εξάπλωση του κακόβουλου λογισμικού μέσω Facebook Messenger ή μια νέα θέση με ετικέτες για έως 50 επαφές. Όταν κάποιος πατήσει στο σύνδεσμο, η διαδικασία ξεκινά και πάλι.
Το κακόβουλο λογισμικό έχει να παρακάμψει τους ελέγχους επικύρωσης της Google και σύμφωνα με Radware, για να το κάνετε ότι οι φορείς της εκστρατείας δημιούργησε αντίγραφα των νόμιμων επεκτάσεις και ενίεται ένα σύντομο, ασαφή κακόβουλη δέσμη ενεργειών για να ξεκινήσετε τη λειτουργία κακόβουλου λογισμικού. Η εταιρεία ασφάλειας έχει παρατηρηθεί ότι έχουν υπάρξει επτά από αυτές τις κακόβουλες επεκτάσεις, τέσσερις από τους οποίους έχουν αποκλειστεί δεδομένου ότι από την Google.
Δυνατότητες κακόβουλου λογισμικού
Το κακόβουλο λογισμικό μπορεί να κλέψει Facebook login διαπιστευτήρια και τα cookies στο Instagram.
«Εάν σύνδεσης παρουσιάζεται στην μηχανή (ή ένα cookie Instagram βρίσκεται), θα σταλεί έως το C2. Ο χρήστης ανακατευθύνεται στη συνέχεια σε ένα Facebook API για να δημιουργήσετε ένα διακριτικό πρόσβασης που θα αποσταλούν επίσης για το C2 εάν είναι επιτυχής. Διακριτικά πρόσβασης στο Facebook με έλεγχο ταυτότητας χρηστών δημιουργούνται και αρχίζει η φάση της διάδοσης. Το κακόβουλο λογισμικό συλλέγει σχετικές πληροφορίες λογαριασμού με σκοπό την διάδοση στον κακοπροαίρετο σύνδεσμο στο δίκτυο του χρήστη.» Radware εξηγεί.
Η εταιρεία ασφαλείας σημειώνει επίσης ότι ένα cryptomining εργαλείο είναι επίσης κατέβασαν και οι επιτιθέμενοι είχαν προσπαθήσει να εξορύξουν τρία διαφορετικά νομίσματα, Monero, Bytecoin και Electroneum.
«Οι επιτιθέμενοι χρησιμοποιούν ένα δημόσια διαθέσιμο εργαλείο browser-εξόρυξης να πάρει τα μολυσμένα μηχανήματα για να αρχίσετε εξόρυξης κρυπτονομίσματα. Ο κώδικας JavaScript είναι κατεβάσει από εξωτερικές τοποθεσίες, ότι ο Όμιλος ελέγχει και περιέχει εξόρυξης πισίνα.»
Οι ερευνητές από τη σταθερή Σημείωση ασφαλείας ότι περίπου $1000 ήταν εξορύσσεται σε έξι ημέρες.
Προστατευτείτε από τέτοια κακόβουλα προγράμματα
Facebook που χρησιμοποιείται για να διαδώσει κάποιο είδος κακόβουλου λογισμικού δεν είναι κάτι νέο. Ωστόσο, πολλοί χρήστες εξακολουθούν να αγνοούν ότι κάνοντας κλικ σε ένα παράξενο σύνδεσμο έστειλε με μια επαφή θα μπορούσε ενδεχομένως να οδηγήσει σε μια λοίμωξη malware. Ενώ το Facebook είναι γενικά γρήγορες να καταργήσετε κακόβουλο συνδέσεις από μηνύματα και δημοσιεύσεις, είναι ακόμα δεν είναι γρήγορα αρκετή για την πρόληψη λοίμωξης 100%.
Ωστόσο, υπάρχει ένα πράγμα που οι χρήστες μπορεί να κάνει για να μην μολύνει τους υπολογιστές και έχετε λογαριασμούς κοινωνικών μέσων μαζικής ενημέρωσης τους αναλάβει, και αυτό είναι να μην κάνετε κλικ στις συνδέσεις παράξενο, ακόμη και όταν στέλνονται από έναν φίλο. Ένας άλλος χρυσός κανόνας είναι να μην εγκαταστήσετε άγνωστες επεκτάσεις. Υπήρξαν αρκετές παρόμοιες εκστρατείες κακόβουλου λογισμικού για τους χρήστες να κατανοήσουν ότι δεν θα πρέπει να εγκαταστήσουν τυχαία επεκτάσεις, μόνο και μόνο επειδή εμφανίζεται ένα pop-up αίτημα.