Cybersecurity firma Radware odhalil novú kampaň malware na Facebooku, ktorý ukradol účet poverenia a nainštalované skripty na počítačoch obeť za účelom bane pre cryptocurrency. Malware kampaň s názvom Nigelthorn, pôsobí od marca roku 2018 a napadol viac ako 100.000 užívateľov po celom svete. Zneužívania legitímnych Google Chrome príponou Nigelify, ktorý nahrádza web obrazy s obrázkami Nigel Thornberry, postavy z kreslených televíznej show divoké Thornberrys spolupracujú, teda meno Nigelthorn.
Malware kampaň sa snaží oklamať používateľov do sťahovania malware, ktoré by zneužiť kontá a baňa na cryptocurrency.
Ako užívatelia nakaziť?
Odkazy pre infekcie sa šíri prostredníctvom Facebook správy a príspevky, a keď používatelia kliknú na ne, sú prijímané na falošné YouTube stránkach. Potom sa zobrazí dialógové okno so žiadosťou pridať príponu Google Chrome na prehrávanie videa. Ak používateľ klikne na “Pridať príponu”, malware nainštaluje do počítača. Radware poznamenáva, že kampaň sa zdá, zamerať sa na Chrome prehliadače, takže používatelia pomocou iných prehliadačov by nemal byť ohrozený.
Infikované užívateľský potom spustí, nevedomky šírenie škodlivého softvéru cez Facebook Messenger alebo nový príspevok s značky až 50 kontaktov. Keď niekto stlačí na odkaz, proces začína znova.
Malware má obchvat Google overovanie a podľa Radware, robiť kampaň subjekty vytvorené kópie legitímne rozšírenia a injekčne krátky, zatemnil škodlivý skript spustiť operáciu malware. Bezpečnostná firma zaznamenala, že tam bolo sedem z týchto škodlivých rozšírení, z ktorých štyri boli odvtedy zablokované Google.
Malware schopnosti
Malware môže ukradnúť prihlasovacie údaje do Facebooku a Instagrame cookies.
“Prihlásenie sa vyskytuje v počítači (alebo Instagram cookie našiel), to bude odoslaný do C2. Užívateľ je potom presmerovaný na Facebook API vytvoriť prístupový token, ktorý sa tiež odošlú do C2 Ak úspešný. Overení používatelia Facebooku Prístupové tokeny sú generované a rozmnožovanie fáza začína. Malware zhromažďuje príslušné konto informácie za účelom šírenia škodlivého odkaz používateľa siete.” Radware vysvetľuje.
Bezpečnostná firma tiež konštatuje, že cryptomining nástroj je tiež stiahnuť a útočníci sa snažil moje tri rôzne mince, Monero, Bytecoin a Electroneum.
“Útočníci sú pomocou verejne dostupných prehliadač-ťažba nástroj získať infikovaných počítačov začať ťažba cryptocurrencies. JavaScript kód je stiahnuté z externých lokalít, že skupina ovláda a obsahuje banský bazén.”
Výskumníci z bezpečnostnej firmy Všimnite si, že okolo 1000 dolárov ťažil v šiestich dňoch.
Chráňte sa proti škodlivého softvéru
Facebook používa šíriť nejaký druh malware nie je nič nové. Avšak, mnoho užívateľov stále nevedomý, že podivný odkaz poslal kontakt by mohli viesť k malware infekcie. Kým Facebook je všeobecne rýchlo odstrániť škodlivé prepojenia zo správy a príspevky, je to stále nie rýchlo dosť, aby sa zabránilo infekcii 100%.
Napriek tomu je jedna vec, ktorú používatelia môžu urobiť nie infikovať svoje počítače a svoje sociálne médiá účty prevziať, a to je nie kliknite na podivné odkazy, aj keď nám poslal kamarát. Ďalšie zlaté pravidlo je nainštalovať neznáme prípony. Tam boli dosť podobné kampane malware pre používateľom pochopiť, že by mali nainštalovať náhodné rozšírenia len preto, že sa zobrazí pop-up žiadosť.