Se você receber um link para um vídeo, mesmo que pareça empolgante, enviado por alguém (ou seu amigo) no mensageiro do Facebook - apenas não clique nele sem pensar duas vezes.
Pesquisadores de segurança cibernética da Trend Micro estão alertando os usuários sobre uma extensão maliciosa do Chrome que está se espalhando pelo Facebook Messenger e direcionando os usuários de plataformas de comércio de criptografia para roubar as credenciais de suas contas.
Apelidada de FacexWorm , a técnica de ataque usada pela extensão maliciosa surgiu pela primeira vez em agosto do ano passado, mas os pesquisadores notaram que o malware reempacotou alguns novos recursos maliciosos no início deste mês.
Pesquisadores de segurança cibernética da Trend Micro estão alertando os usuários sobre uma extensão maliciosa do Chrome que está se espalhando pelo Facebook Messenger e direcionando os usuários de plataformas de comércio de criptografia para roubar as credenciais de suas contas.
Apelidada de FacexWorm , a técnica de ataque usada pela extensão maliciosa surgiu pela primeira vez em agosto do ano passado, mas os pesquisadores notaram que o malware reempacotou alguns novos recursos maliciosos no início deste mês.
Os novos recursos incluem o roubo de credenciais de sites, como sites do Google e de criptografia, redirecionamento de vítimas a fraudes de criptografia, injetar mineiros na página da web para criptografia de minas e redirecionar as vítimas ao link de referência do invasor para programas de referência relacionados à criptomoeda.
Não é o primeiro malware a abusar do Facebook Messenger para se espalhar como um worm.
No ano passado, os pesquisadores da Trend Micro descobriram um bot de mineração de criptomoedaMonero, apelidado de Digmine , que se espalha através do Facebook Messenger e tem como alvo os computadores Windows, bem como o Google Chrome para mineração criptografada.
Assim como o Digmine, o FacexWorm também trabalha enviando links socialmente projetados sobre o Facebook Messenger para os amigos de uma conta afetada do Facebook para redirecionar as vítimas para falsas versões de sites populares de streaming de vídeo, como o YouTube.
Deve-se observar que a extensão FacexWorm foi projetada apenas para segmentar usuários do Chrome. Se o malware detectar qualquer outro navegador da Web no computador da vítima, ele redirecionará o usuário para um anúncio aparentemente inócuo.
Se o link de vídeo malicioso for aberto usando o navegador Chrome, o FacexWorm redireciona a vítima para uma página falsa do YouTube, onde o usuário é incentivado a baixar uma extensão maliciosa do Chrome como uma extensão de codec para continuar reproduzindo o vídeo.
Deve-se observar que a extensão FacexWorm foi projetada apenas para segmentar usuários do Chrome. Se o malware detectar qualquer outro navegador da Web no computador da vítima, ele redirecionará o usuário para um anúncio aparentemente inócuo.
Como o Malware FacexWorm funciona?
Se o link de vídeo malicioso for aberto usando o navegador Chrome, o FacexWorm redireciona a vítima para uma página falsa do YouTube, onde o usuário é incentivado a baixar uma extensão maliciosa do Chrome como uma extensão de codec para continuar reproduzindo o vídeo.
Uma vez instalada, a extensão do FacexWorm Chrome baixa mais módulos do seu servidor de comando e controle para executar várias tarefas maliciosas.
"FacexWorm é um clone de uma extensão normal do Chrome, mas injetado com código curto contendo sua rotina principal. Ele faz o download de código JavaScript adicional do servidor C & C quando o navegador é aberto", disseram os pesquisadores .
"Toda vez que uma vítima abrir uma nova página, o FacexWorm consultará seu servidor C & C para encontrar e recuperar outro código JavaScript (hospedado em um repositório do Github) e executar seus comportamentos nessa página da Web."Como a extensão aceita todas as permissões estendidas no momento da instalação, o malware pode acessar ou modificar dados de qualquer site que o usuário abrir.
Aqui abaixo listei um breve resumo do que o malware FacexWorm pode executar:
- Para se espalhar ainda mais como um worm, o malware solicita o token de acesso OAuth para a conta do Facebook da vítima, usando o qual ele automaticamente obtém a lista de amigos da vítima e envia um link de vídeo falso e malicioso do YouTube para eles também.
- Roube as credenciais da conta do usuário para o Google, MyMonero e Coinhive, quando o malware detectar que a vítima abriu a página de login do site de destino.
- O FacexWorm também injeta minas de criptomoedas em páginas da web abertas pela vítima, que utiliza a capacidade de CPU do computador da vítima para minerar Cryptocurrency para atacantes.
- O FacexWorm até seqüestra as transações relacionadas ao criptomoeda do usuário, localizando o endereço digitado pela vítima e substituindo-o pelo fornecido pelo invasor.
- Quando o malware detecta que o usuário acessou uma das 52 plataformas de criptografia ou palavras-chave digitadas como "blockchain", "eth-" ou "ethereum" na URL, o FacexWorm redirecionará a vítima para uma página da Web de fraude criptografada para roubar o usuário digital moedas. As plataformas direcionadas incluem Poloniex, HitBTC, Bitfinex, Ethfinex e Binance e a carteira Blockchain.info.
- Para evitar a detecção ou remoção, a extensão FacexWorm fecha imediatamente a guia aberta quando detecta que o usuário está abrindo a página de gerenciamento de extensão do Chrome.
Até agora, os pesquisadores da Trend Micro descobriram que o FacexWorm comprometeu pelo menos uma transação Bitcoin (avaliada em US $ 2,49) até 19 de abril, mas eles não sabem quanto os atacantes ganharam com a mineração da Web mal-intencionada.Cryptocurrencies alvo de FacexWorm incluem Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Dinheiro (BCH), Dash (DASH), a ETH, Ethereum clássico (ETC), Ripple (XRP), litecoin (LTC), Zcash (ZEC), e Monero (XMR).
O malware FacexWorm foi encontrado surgindo na Alemanha, Tunísia, Japão, Taiwan, Coréia do Sul e Espanha.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário