ในโลกไซเบอร์ในบริษัท Radware ได้เปิดเผยแคมเปญมัลแวร์ใหม่บน Facebook ที่มีขโมยข้อมูลประจำตัวบัญชี และติดตั้งสคริปต์บนคอมพิวเตอร์ของเหยื่อเพื่อเหมือง cryptocurrency ชื่อ Nigelthorn แคมเปญมัลแวร์ใช้งานตั้งแต่ 2018 มีนาคม และมีการติดเชื้อมากกว่า 100,000 คนจากทั่วโลก มันละเมิดนามสกุลถูกต้องตามกฎหมาย Google Chrome Nigelify ซึ่งแทนที่รูปภาพบนเว็บกับรูปภาพของ Nigel Thornberry ตัวละครจากการ์ตูนโทรทัศน์แสดงดังก้อง ดังนั้นชื่อ Nigelthorn. Nigel thorn malware can steal Facebook credentials and mine for cryptocurrency

แคมเปญมัลแวร์มีจุดมุ่งหมายเพื่อหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์ ที่จะจี้บัญชี เหมือง cryptocurrency

วิธีติดเชื้อผู้ใช้

เชื่อมโยงไปยังการติดเชื้อจะแพร่กระจายผ่านทางข้อความ Facebook และโพสต์ และเมื่อผู้ใช้คลิกที่พวกเขา พวกเขาจะถูกนำไปยังเว็บไซต์ YouTube ปลอม หน้าต่างแบบผุดขึ้นแล้วปรากฏขึ้นถามเพิ่มนามสกุล Google Chrome เพื่อเล่นวิดีโอ ถ้าผู้ใช้คลิกที่ “เพิ่มส่วนขยาย” มัลแวร์ติดตั้งบนคอมพิวเตอร์ หมายเหตุ Radware ที่ดูเหมือนว่าแคมเปญ เน้น Chrome เบราว์เซอร์ ดังนั้นผู้ใช้ที่ใช้เบราว์เซอร์อื่นไม่ควรเสี่ยง

นอกจากนี้ผู้ใช้ติดไวรัสแล้วเริ่มไม่รู้แพร่มัลแวร์ผ่านทาง Facebook Messenger หรือโพสต์ใหม่ ด้วยแท็กสำหรับติดต่อถึง 50 เมื่อมีคนกดลิงค์ กระบวนการเริ่มต้นอีกครั้ง

มัลแวร์มีการข้ามการตรวจสอบของ Google และตาม Radware การที่ผู้ประกอบการส่งเสริมการขายที่สร้างสำเนาของส่วนขยายที่ถูกต้องตามกฎหมาย และฉีดสั้น ๆ แบบร่างสคริปต์ที่เป็นอันตรายเพื่อเริ่มการทำงานของมัลแวร์ บริษัทรักษาความปลอดภัยได้ตรวจสอบว่า มีเจ็ดของส่วนขยายที่เป็นอันตราย สี่ซึ่งตั้งแต่ถูกบล็อก โดย Google

ความสามารถของมัลแวร์

มัลแวร์สามารถขโมยข้อมูลประจำตัวการเข้าสู่ระบบ Facebook และ Instagram คุกกี้

“หากเข้าสู่ระบบที่เกิดขึ้นบนเครื่อง (หรือคุกกี้ Instagram ที่พบ), มันจะถูกส่งไป C2 แล้วมีเปลี่ยนผู้ใช้ไป Facebook API เพื่อสร้างโทเค็นการเข้าถึงที่จะถูกส่งไป C2 ถ้าสำเร็จ โทเค็นการเข้าถึง Facebook ของผู้ใช้ authenticated ถูกสร้าง และเริ่มขั้นตอนการเผยแพร่ มัลแวร์รวบรวมข้อมูลที่เกี่ยวข้องบัญชีเพื่อวัตถุประสงค์ในการเชื่อมโยงที่เป็นอันตรายของผู้ใช้เครือข่ายการกระจาย” Radware อธิบาย

นอกจากนี้บริษัทรักษาความปลอดภัยได้บันทึกว่า ได้มีดาวน์โหลดเครื่องมือ cryptomining และการโจมตีพยายามเหมืองสามเหรียญต่าง ๆ Monero, Bytecoin และ Electroneum

“การโจมตีใช้เครื่องมือเบราว์เซอร์เหมืองสาธารณรับเครื่องติดเชื้อการเริ่ม cryptocurrencies การทำเหมืองแร่ รหัส JavaScript ถูกดาวน์โหลดจากเว็บไซต์ภายนอกว่า กลุ่มควบคุม และประกอบด้วยสระว่ายน้ำทำเหมือง”

นักวิจัยจากหมายเหตุบริษัทรักษาความปลอดภัยที่ประมาณ $1000 ถูกขุดในหกวัน

ปกป้องตัวเองจากมัลแวร์ดังกล่าว

Facebook ที่ใช้บางชนิดของมัลแวร์แพร่กระจายมีอะไรใหม่ อย่างไรก็ตาม ผู้ใช้จำนวนมากยังคงไม่ทราบว่า คลิกที่ลิงค์แปลกส่ง โดยผู้ติดต่ออาจอาจจะนำไปสู่การติดเชื้อมัลแวร์ ในขณะที่ Facebook รวดเร็วโดยทั่วไปในการเอาการเชื่อมโยงที่เป็นอันตรายจากข้อความและโพสต์ ก็ยังไม่เร็วพอที่จะป้องกันการติดเชื้อ 100%

อย่างไรก็ตาม มีสิ่งหนึ่งที่ผู้ใช้ไม่ติดเชื้อคอมพิวเตอร์ของตน และมีบัญชีสื่อสังคมออนไลน์ของพวกเขาที่ใช้เวลามากกว่า และที่ไม่ได้คลิกที่ลิ้งค์แปลก แม้ว่าพวกเขาจะถูกส่ง โดยเพื่อน กฎทองที่อื่นจะไม่ติดตั้งส่วนขยายที่ไม่รู้จัก มีแคมเปญมัลแวร์พอคล้ายกันเพื่อให้ผู้ใช้เข้าใจว่า พวกเขาไม่ควรติดตั้งส่วนขยายแบบสุ่มเพียง เพราะคำขอป๊อปอัพปรากฏขึ้น

ใส่ความเห็น