Firma Radware cyberbezpieczeństwa odkryli nową kampanię malware na Facebook, który ma kradzieży poświadczeń konta i zainstalowane skrypty na komputerach ofiary celu kopalni kryptowaluta. O nazwie Nigelthorn, kampanii malware od marca 2018 i zaraził ponad 100 000 użytkowników na całym świecie. Nadużywa rozszerzenie uzasadnionych Google Chrome Nigelify, który zastępuje obrazy web Zdjęcia Nigel Thornberry, postać z kreskówek telewizyjnych show Dzika rodzinka, stąd nazwa Nigelthorn.
Malware Kampania ma na celu nakłonić użytkowników do pobierania złośliwego oprogramowania, który będzie przejąć kontrolę nad kontami i moje dla kryptowaluta.
Jak zarazić użytkowników?
Linki na zakażenie są rozprzestrzeniane za pośrednictwem wiadomości na Facebooku i posty, i gdy użytkownik kliknie przycisk na nich, są one do fałszywej witryny YouTube. Następnie wyświetli się okienko z pytaniem, aby dodać rozszerzenie Google Chrome w celu odtwarzania wideo. Jeśli użytkownik kliknie na „Dodaj rozszerzenie”, malware instaluje się na komputerze. Radware zauważa, że kampania wydaje się koncentrują się na Chrome przeglądarek, więc użytkownicy korzystający z innych przeglądarek nie powinny być zagrożone.
Zainfekowany użytkownik następnie rozpoczyna nieświadomie rozprzestrzeniania się szkodliwego oprogramowania za pośrednictwem Facebook Messenger lub nowy post z tagów dla maksymalnie 50 kontaktów. Gdy ktoś naciśnie link, proces rozpocznie się ponownie.
Złośliwe oprogramowanie ma ominąć sprawdzanie poprawności Google i według Radware, zrobić, że operatorzy kampanii utworzone kopie uzasadnionych rozszerzeń i wstrzykuje się krótkie, ukrywane złośliwy skrypt do uruchomienia działania złośliwego oprogramowania. Bezpieczeństwa firmy zauważyła, że było siedem z tych złośliwych rozszerzeń, z których cztery zostały od tego czasu zablokowane przez Google.
Możliwości złośliwego oprogramowania
Złośliwe oprogramowanie może ukraść logowania do serwisu Facebook i Instagram ciasteczka.
„Jeśli logowania występuje na komputerze (lub pliku cookie Instagram znajduje się), to będą wysyłane do C2. Użytkownik jest przekierowany do API Facebook, aby wygenerować token dostępu, który również zostanie wysłany do C2, jeśli kończy się pomyślnie. Tokeny dostępu uwierzytelnieni użytkownicy Facebook są generowane i rozpoczyna się w fazie propagacji. Złośliwe oprogramowanie zbiera informacji z konta do celów rozprzestrzeniania szkodliwego łącza do sieci użytkownika.” Radware wyjaśnia.
Firma również zauważa, że narzędzie cryptomining jest również pobrać, a napastnicy próbowali wydobywać trzy różne monety, Monero, Bytecoin i Electroneum.
„Napastnicy używasz publicznie dostępne narzędzie wyszukiwania przeglądarki do dostać zakażony maszyn do rozpoczęcia wyszukiwania kryptowaluty. Kod JavaScript jest pobrane ze stron zewnętrznych, że grupa kontroluje i zawiera basen wyszukiwania.”
Naukowcy z zabezpieczeń firmy Uwaga, że około 1000 dolarów wydobywano w sześć dni.
Jak się bronić przed szkodliwym oprogramowaniem, takich
Facebook, używane do rozprzestrzeniania się pewnego rodzaju złośliwego oprogramowania to nic nowego. Jednak wielu użytkowników nadal pozostają nieświadomi, że klikając na link dziwne wysłane przez kontakt może prowadzić do infekcji złośliwym oprogramowaniem. Podczas gdy Facebook jest zazwyczaj szybki usunąć złośliwe linki z wiadomości i posty, to nadal nie szybko tyle, aby zapobiec infekcji 100%.
Niemniej jednak istnieje użytkownikom jedno można zrobić, aby nie zainfekować komputery i kont sieci społecznościowych przejąć, i to nie kliknąć na linki dziwne, nawet jeśli są one wysyłane przez znajomego. Inną złotą regułą jest nie zainstalować nieznanych rozszerzeniach. Było wystarczająco dużo podobnych kampaniach złośliwego oprogramowania dla użytkowników, aby zrozumieć, że nie należy instalować rozszerzenia losowe, tylko dlatego, że pojawia się żądanie pop-up.