Новый вирус по добыче ваших денег распростроняется через Facebook

Если вы получаете ссылку на видео, даже если оно выглядит захватывающим, отправлено кем-то (или вашим другом) на Facebook-мессенджере, просто не нажимайте на него, не задумываясь.

Исследователи кибербезопасности Trend Micro предупреждают пользователей о распространении вредоносного расширения Chrome, распространяющегося через Facebook Messenger, и нацеливают пользователей на криптовалютные торговые платформы, чтобы украсть учетные данные своих учетных записей.

Дублированная FacexWorm , техника атаки, используемая вредоносным расширением, впервые появилась в августе прошлого года, но исследователи заметили, что в начале этого месяца вредоносное ПО повторно упаковало несколько новых вредоносных возможностей.

Новые возможности включают в себя кражу учетных данных с веб-сайтов, таких как Google и сайты криптовалюты, перенаправление жертв на мошенничество с криптовалютами, ввод в эксплуатацию горняков на веб-странице для криптовалютности добычи и перенаправление жертв на реферальную ссылку злоумышленника для реферальных программ, связанных с криптовалютами.

Это не первое вредоносное ПО, которое злоупотребляет Facebook Messenger, чтобы распространяться как червь.

В конце прошлого года исследователи Trend Micro обнаружили ботаник Monero-crryptocurrency, получивший название Digmine , который распространяется через Facebook-мессенджер и нацелен на компьютеры Windows, а также Google Chrome для разработки криптовалютных систем. Как и Digmine, FacexWorm также работает, отправляя социально ориентированные ссылки через Facebook Messenger друзьям знакомой Facebook-учетной записи, чтобы перенаправить жертв на поддельные версии популярных видеопотоков, например YouTube.

Следует отметить, что расширение FacexWorm предназначено только для пользователей Chrome. Если вредоносная программа обнаруживает любой другой веб-браузер на компьютере жертвы, он перенаправляет пользователя на безобидную рекламу.

Как работает вредоносное ПО FacexWorm

Если злонамеренная видеосвязь открывается с помощью браузера Chrome, FacexWorm перенаправляет жертву на поддельную страницу YouTube, где пользователю рекомендуется загружать вредоносное расширение Chrome в качестве расширения кодека для продолжения воспроизведения видео.

После установки расширение FacexWorm Chrome загружает больше модулей с сервера команд и управления для выполнения различных вредоносных задач.

«FacexWorm - это клон обычного расширения Chrome, но с коротким кодом, содержащим его основную подпрограмму, он загружает дополнительный код JavaScript с сервера C & C при открытии браузера», - сказали исследователи .

«Каждый раз, когда жертва открывает новую веб-страницу, FacexWorm будет запрашивать свой сервер C & C для поиска и получения другого кода JavaScript (размещенного в репозитории Github) и выполнения его поведения на этой веб-странице».

Так как расширение принимает все расширенные разрешения во время установки, вредоносное ПО может получить доступ или изменить данные для любых веб-сайтов, которые пользователь открывает.

Ниже я кратко изложил, что может сделать вредоносное ПО FacexWorm:

• Чтобы распространиться дальше, как червь, вредоносная программа запрашивает токен доступа OAuth для учетной записи Facebook жертвы, используя которую он автоматически получает список друзей жертвы и отправляет эту вредоносную поддельную ссылку на видео YouTube.
• Украдите учетные данные учетной записи пользователя для Google, MyMonero и Coinhive, когда вредоносное ПО обнаружит, что жертва открыла страницу входа целевого сайта.
• FacexWorm также внедряет мини-криптовалют на веб-страницы, открытые жертвой, которая использует мощность процессора компьютера-жертвы, чтобы выпустить Cryptocurrency для злоумышленников.
• FacexWorm даже захватывает транзакции, связанные с криптовалютами пользователя, путем нахождения адреса, введенного жертвой, и замены его на тот, который предоставляется злоумышленником.
• Когда вредоносное ПО обнаруживает, что пользователь обратился к одной из 52 криптовалютных торговых платформ или набрал такие ключевые слова, как «blockchain», «eth-» или «ethereum» в URL-адресе, FacexWorm перенаправит жертву на веб-страницу мошенничества с криптовалютами, чтобы украсть цифровые данные пользователя монеты. Целевые платформы включают Poloniex, HitBTC, Bitfinex, Ethfinex и Binance, а также кошелек Blockchain.info.
• Чтобы избежать обнаружения или удаления, расширение FacexWorm немедленно закрывает открытую вкладку, когда обнаруживает, что пользователь открывает страницу управления расширением Chrome.
• Нападающий также получает реферальный стимул каждый раз, когда жертва регистрирует учетную запись на Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in или HashFlare.

До сих пор исследователи из Trend Micro обнаружили, что FacexWorm скомпрометировала хотя бы одну транзакцию Биткойн (стоимостью 2,49 доллара США) до 19 апреля, но они не знают, сколько злоумышленники заработали от вредоносного веб-разработки.

Cryptocurrencies, на которые нацелена FacexWorm, включают Bitcoin (BTC), биткойн-золото (BTG), биткойн-наличные деньги (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), пульсацию (XRP), Litecoin (LTC), Zcash (ZEC) и Monero (XMR).

Вредоносное ПО FacexWorm было обнаружено в Германии, Тунисе, Японии, Тайване, Южной Корее и Испании. Но поскольку Facebook Messenger используется во всем мире, есть больше шансов на распространение вредоносного ПО во всем мире.

Интернет-магазин Chrome удалил многие из вредоносных расширений, прежде чем они были уведомлены исследователями Trend Micro, но злоумышленники продолжают загружать их обратно в магазин.

Исследователи сказали, что Facebook Messenger также обнаруживает вредоносные, социально спроектированные ссылки и регулярно блокирует поведение распространения затронутых аккаунтов Facebook.

Поскольку кампании Facebook Spam довольно распространены, пользователям рекомендуется проявлять бдительность при нажатии на ссылки и файлы, предоставляемые через платформу сайта социальных сетей.