Stevige Radware van cyberveiligheid hebben ontdekt een nieuwe malware campagne op Facebook dat heeft gestolen van accountreferenties en scripts op slachtoffer computers geïnstalleerd voor cryptocurrency mijnen. Met de naam Nigelthorn, de malware campagne is actief sinds maart 2018 en heeft meer dan 100.000 gebruikers wereldwijd besmet. Het misbruik maakt van een legitieme Google Chrome met de extensie Nigelify, die webafbeeldingen met foto’s van Nigel Thornberry, het teken van de cartoon tv-show The Wild Thornberrys, vandaar de naam Nigelthorn vervangt.
De malware-campagne heeft als doel om gebruikers te bedriegen in het downloaden van malware die zou kapen van de accounts, en de mijne voor cryptocurrency.
Hoe gebruikers krijgen besmet?
Links naar de infectie zijn verspreid via Facebook berichten en berichten, en wanneer gebruikers op hen klikt, ze zijn genomen om een nep YouTube-website. Een pop-upvenster is vervolgens gevraagd de uitbreiding van een Google Chrome om te spelen de video toevoegen. Als de gebruiker klikt op “Extensie toevoegen”, installeert de malware op de computer. Radware merkt op dat de campagne lijkt om zich te concentreren op Chrome de browsers, zodat gebruikers met behulp van andere browsers mag niet in gevaar.
De besmette gebruiker start onbewust het verspreiden van de malware via Facebook Messenger of een nieuwe post met markeringen voor maximaal 50 contacten. Wanneer iemand op de link drukt, begint het proces opnieuw.
De malware heeft voor rondweg Googles validatiecontroles, en volgens Radware, om te doen dat de bedieners van de campagne kopieën van legitieme extensies gemaakt en een korte, geïnjecteerd obscure schadelijke scripts om de malware-bewerking te starten. De bewakingsonderneming heeft opgemerkt dat zijn er zeven van deze schadelijke extensies, waarvan er vier sindsdien zijn geblokkeerd door Google.
Malware mogelijkheden
De malware kan stelen inloggegevens van Facebook en Instagram cookies.
“Als login op de computer optreedt (of een Instagram-cookie wordt gevonden), het zal worden verzonden naar de C2. Vervolgens wordt de gebruiker omgeleid naar een Facebook API voor het genereren van een toegangstoken waarin ook zal worden verzonden naar de C2 als succesvol. Geverifieerde gebruikers Facebook toegangstokens worden gegenereerd en de voortplanting fase begint. De malware verzamelt relevante accountgegevens met het oog op de verspreiding van het schadelijke koppeling aan het netwerk van de gebruiker.” Radware legt uit.
De bewakingsonderneming merkt ook op dat een cryptomining-instrument ook gedownload, en de aanvallers had geprobeerd om drie verschillende munten, politics, Bytecoin en Electroneum de mijne.
“De aanvallers gebruikt om het besmette machines om te beginnen met mijnbouw cryptocurrencies een openbaar beschikbare browser-mining tool. De JavaScript-code wordt gedownload van externe sites die de groep beheert en de mining pool bevat.”
De onderzoekers van de veiligheid vast notitie die rond $1000 in zes dagen werd gedolven.
Jezelf beschermen tegen dergelijke malware
Facebook wordt gebruikt voor het verspreiden van een soort malware is niets nieuws. Veel gebruikers blijven echter nog steeds niet op de hoogte dat op een vreemde link verstuurd door een contactpersoon te klikken kan eventueel leiden tot een malware infectie. Terwijl Facebook over het algemeen snel berichten en berichten verwijderen kwaadaardige links is, is het nog steeds niet snel genoeg om te voorkomen dat infectie 100%.
Toch, er is één ding-gebruikers kunnen doen om hun computers niet infecteren hebben hun sociale media-accounts overnemen en dat is niet klikken op vreemde links, zelfs als deze worden verzonden door een vriend. Een andere gouden regel is niet onbekende extensies te installeren. Er zijn genoeg soortgelijke malware campagnes voor gebruikers te begrijpen dat zij niet willekeurige extensies installeren moeten, gewoon omdat een pop-verzoek wordt weergegeven.