Кибербезопасности, фирма Radware обнаружили новую кампанию вредоносных программ на Facebook, который похитил учетные данные учетной записи и установленные скрипты на компьютеры жертвы для того, чтобы рудник cryptocurrency. Именем Nigelthorn, вредоносных программ кампания действует с марта 2018 и заразил более чем 100000 пользователей во всем мире. Он злоупотребляет законной Google Chrome расширение Nigelify, который заменяет веб-изображения с фотографии Найджел ТОРНБЕРРИ, персонажа из мультфильма телевизионных шоу Дикая семейка Торнберри, таким образом, название Nigelthorn.
Вредоносных программ кампания призвана обмануть пользователей в загрузку вредоносных программ, что бы захватить счетов и шахты для cryptocurrency.
Как пользователи заразиться?
Ссылки на инфекции распространяются через Facebook сообщения и сообщения, и когда пользователи нажимают на них, они принимаются на поддельные веб-сайт YouTube. Затем появляется всплывающее окно, спрашивая для добавления расширения Google Chrome для того чтобы сыграть видео. Если пользователь нажимает на «Добавить расширение», вредоносная программа устанавливает на компьютер. Radware отмечает, что кампания, как представляется, сосредоточиться на Chrome браузеры, так что пользователи, использующие другие браузеры не должно быть в опасности.
Зараженный пользователь затем начинает неосознанно распространения вредоносных программ через Facebook Messenger или новый пост с тегами для до 50 контактов. Когда кто-то нажимает на ссылку, процесс начинается снова.
Вредоносная программа имеет обойти проверку Google и согласно Radware, что операторы кампании создали копии законных расширений и вводят краткое, запутывание вредоносный сценарий, чтобы начать операцию вредоносных программ. Охранная фирма отметила, что там были семь из этих вредоносных расширений, четыре из которых были с тех пор заблокированы Google.
Вредоносное по возможности
Вредоносные программы могут украсть Facebook логин полномочия и Instagram печенье.
«Если входа происходит на машине (или найти файл cookie Instagram), он будет направляться C2. Затем пользователь перенаправляется к Facebook API для создания маркер доступа, который будет также направляться C2 если успешно. Маркеры доступа проверку подлинности пользователей Facebook создаются и начинается на этапе распространения. Вредоносная программа собирает соответствующей учетной записи информации для целей распространения вредоносных ссылку для пользователей сети.» Radware объясняет.
Охранная фирма также отмечает, что cryptomining инструмент также загружается, и нападавшие пытались добывать три различных монет, Monero, Bytecoin и Electroneum.
«Нападавшие используете общедоступных браузера добыча инструмент получить инфицированных машин для начала добычи cryptocurrencies. Код JavaScript загружается с внешних сайтов, что группа контролирует и содержит добычи бассейн.»
Исследователи из безопасности фирмы Обратите внимание, что около $1000 была заминирована в шесть дней.
Как защитить себя от таких вредоносных программ
Facebook используется для распространения своего рода вредоносных программ нет ничего нового. Однако многие пользователи по-прежнему не знают, что нажав на странные ссылки, отправленные контакт может привести к инфекции malware. В то время как Facebook как правило быстро, чтобы удалить вредоносные ссылки из сообщений и сообщений, это до сих пор не быстро достаточно, чтобы предотвратить инфекции 100%.
Тем не менее существует одно пользователи могут сделать, чтобы не заразить их компьютеры и имеют их учетных записей социальных средств массовой информации взять на себя, и это не нажать на странные ссылки, даже если они отправлены в другом. Еще одно золотое правило — не установить неизвестных расширений. Там были достаточно аналогичные кампании вредоносных программ для пользователей, чтобы понять, что они не должны устанавливать случайные расширения, просто потому, что запрос всплывающих появляется.