Cryptocurrency Mining Virus distribuit prin Facebook Messenger

Dacă primiți un fișier video ( în arhiva zip) trimis de cineva (sau de prietenii ) pe messengerul  Facebook – nu faceți clic pe el.
Cercetătorii de la firma de securitate Trend Micro avertizează utilizatorii ca un nou virus cryptocurrency, care se răspândește prin Facebook Messenger și care vizează utilizatorii de desktop Google Chrome pentru a profita de creșterea recentă a prețurilor criptocurrency.
Dubbed Digmine, boot-ul de exploatare Monero-cryptocurrency se deghizează ca un fișier video embed, sub numele video_xxxx.zip (așa cum se arată în captura de ecran), dar conține de fapt un script executabil AutoIt.

 

După ce a fost făcut clic, malware-ul infectează computerul victimei și își descarcă componentele și fișierele de configurare conexe de la un server de comandă și control de la distanță.
Dubbed Digmine instalează în primul rând un miner de criptocurrency, adică miner.exe – o versiune modificată a unui miner de tip open source, cunoscută sub numele de XMRig – care ruleaza în mod silențios criptocurrencyul Monero în fundal pentru ca hackerii să utilizeze puterea procesorului calculatoarelor infectate.

Pe lângă minerul de criptare, botul Digimine instalează de asemenea un mecanism de autostart și lansează Chrome cu o extensie periculoasă care permite atacatorilor accesul la profilul Facebook al victimelor și răspândirea aceluiași fișier malware în lista de prieteni prin Messenger.

Deoarece extensiile Chrome pot fi instalate numai prin intermediul magazinului web oficial Chrome, „atacatorii au ocolit acest lucru lansând Chrome (încărcat cu extensia malware) prin linia de comandă.”

„Extensia va citi o configurație proprie de pe serverul C & C. Acesta poate instrui extensia să continue fie să se conecteze la Facebook, fie să deschidă o pagină falsă care va reda un videoclip”, spun cercetătorii Trend Micro.
„Site-ul de momeală care joacă videoclipul servește și ca parte a structurii C & C. Acest site se pretinde a fi un site de streaming video, dar deține o mulțime de configurații pentru componentele malware”.

Este demn de remarcat faptul că utilizatorii care deschid fișierul video rău intenționat prin intermediul aplicației Messenger pe dispozitivele mobile nu sunt afectați.

Din moment ce minerul este controlat de un server C & C, autorii din spatele Digiminer își pot actualiza malware-ul pentru a adăuga funcții diferite peste noapte.

Digmine a fost identificat pentru prima oară prin infectarea utilizatorilor din Coreea de Sud și a extins activitățile sale în Vietnam, Azerbaidjan, Ucraina, Filipine, Thailanda și Venezuela. Dar, din moment ce Facebook Messenger este folosit în întreaga lume, există mai multe șanse ca botul să se răspândească la nivel global.

Când a fost notificat de către cercetători, Facebook a spus că a eliminat majoritatea fișierelor malware de pe site-ul de rețele sociale.
Campaniile Facebook Spam sunt destul de comune. Astfel, utilizatorii sunt sfătuiți să fie vigilenți atunci când fac clic pe link-uri și fișiere furnizate prin intermediul platformei site-urilor de social media.

 

Comments (No)

Leave a Reply