Radware perusahaan CyberSecurity telah mengungkapkan kampanye malware baru di Facebook yang telah dicuri kredensial account dan menginstal skrip pada komputer korban untuk tambang untuk cryptocurrency. Bernama Nigelthorn, kampanye malware telah aktif sejak Maret 2018, dan telah terinfeksi lebih dari 100.000 pengguna global. Pelanggaran ekstensi yang sah Google Chrome Nigelify, yang menggantikan web gambar dengan foto-foto Nigel Thornberry, karakter dari kartun acara televisi The penggorengan, sehingga nama itu Nigelthorn.
Malware kampanye ini bertujuan untuk menipu pengguna men-download perangkat lunak jahat yang akan membajak akun, dan tambang untuk cryptocurrency.
Bagaimana pengguna mendapatkan terinfeksi?
Link ke infeksi menyebar melalui pesan Facebook dan posting, dan ketika pengguna mengklik pada mereka, mereka dibawa ke situs YouTube palsu. Jendela pop-up kemudian muncul meminta untuk menambahkan ekstensi Google Chrome untuk memutar video. Jika pengguna mengklik pada “Tambahkan ekstensi”, menginstal malware ke komputer. Radware mencatat bahwa kampanye tampaknya untuk fokus pada browser Chrome, sehingga pengguna yang menggunakan browser lain tidak boleh beresiko.
Pengguna terinfeksi kemudian mulai sadar menyebarkan malware melalui Facebook Messenger atau posting baru dengan tag untuk hingga 50 kontak. Ketika seseorang menekan link, proses dimulai lagi.
Malware harus melewati cek validasi Google, dan menurut Radware, untuk melakukan bahwa operator kampanye diciptakan salinan sah ekstensi dan disuntikkan singkat, jelas berbahaya script untuk memulai operasi malware. Perusahaan keamanan telah mengamati bahwa ada tujuh ekstensi berbahaya, empat di antaranya telah sejak diblokir oleh Google.
Kemampuan perangkat lunak jahat
Perangkat lunak jahat dapat mencuri rahasia login Facebook dan Instagram cookie.
“Jika login terjadi pada mesin (atau cookie Instagram ditemukan), itu akan dikirim ke C2. Pengguna kemudian diarahkan ke Facebook API untuk menghasilkan token akses yang juga akan dikirimkan ke C2 jika berhasil. Dikonfirmasi pengguna Facebook akses Token yang dihasilkan dan fase propagasi dimulai. Malware mengumpulkan informasi relevan account untuk menyebarkan link berbahaya untuk pengguna jaringan.” Radware menjelaskan.
Perusahaan keamanan juga mencatat bahwa alat cryptomining juga di-download, dan para penyerang cuba tambang tiga koin yang berbeda, Monero, Bytecoin dan Electroneum.
“Para penyerang menggunakan alat pertambangan browser yang tersedia untuk umum untuk mendapatkan terinfeksi mesin untuk memulai cryptocurrencies pertambangan. Kode JavaScript download dari situs eksternal bahwa kelompok kontrol dan berisi kolam renang pertambangan.”
Para peneliti dari catatan perusahaan keamanan bahwa sekitar $1000 ditambang di enam hari.
Melindungi diri sendiri terhadap perangkat lunak jahat tersebut
Facebook menjadi digunakan untuk menyebarkan beberapa jenis malware bukanlah hal baru. Namun, banyak pengguna masih tetap tidak menyadari bahwa mengklik pada link aneh yang dikirim oleh kontak dapat mungkin menyebabkan infeksi malware. Sementara Facebook umumnya cepat untuk menghapus link berbahaya dari pesan dan posting, ianya masih tidak cepat cukup untuk mencegah infeksi 100%.
Namun demikian, ada satu hal yang pengguna dapat lakukan untuk tidak menginfeksi komputer mereka dan memiliki account media sosial mereka mengambil alih, dan itu adalah untuk tidak mengklik link yang aneh, bahkan jika mereka dikirim oleh seorang teman. Aturan emas yang lain adalah untuk tidak menginstal ekstensi yang tidak diketahui. Ada kampanye malware cukup serupa bagi pengguna untuk memahami bahwa mereka tidak harus menginstal ekstensi acak hanya karena permintaan pop-up muncul.