Статті

Новый вирус распространяется через Facebook

04 мая, 2018. 11:05 Владимир Безмалый
Уважаемые пользователи, если вы получаете ссылку на видео, даже если оно выглядит захватывающим, отправленное кем-либо (даже если это ваш друг) в мессенджере Facebook просто не нажимайте на него!

Исследователи Trend Micro предупреждают пользователей о распространении вредоносного расширения Chrome, распространяемого через Facebook Messenger. Это ПО нацелено на пользователей криптовалютных торговых платформ для кражи учетных данных.

Техника атаки FacexWorm, используемая вредоносным ПО, впервые появилась в августе прошлого года, но по сведениям исследователей, в данном вредоносе появились несколько новых возможностей.

Новые возможности включают в себя кражу учетных данных веб-сайтов, таких как Google и сайты криптовалюты, перенаправление жертв на мошенничество с криптовалютами, ввод в эксплуатацию майнеров на веб-странице для добычи криптовалюты и перенаправление жертв на реферальную ссылку злоумышленника для реферальных программ, связанных с криптовалютами.

Это не первое вредоносное ПО, которое использует для распространения Facebook Messenger.

В конце прошлого года исследователи Trend Micro обнаружили вредонос Monero-cryptocurrency, получивший название  Digmine, который распространяется через Facebook-мессенджер и нацелен на компьютеры Windows, а также Google Chrome для разработки криптовалютных систем.

fb2

Как и Digmine, FacexWorm отправляет социально ориентированные ссылки через Facebook Messenger друзьям, чтобы перенаправить жертв на поддельные версии популярных видеопотоков, например YouTube.

Следует отметить, что расширение FacexWorm предназначено только для пользователей Chrome. Если вредоносная программа обнаруживает любой другой веб-браузер на компьютере жертвы, оно перенаправляет пользователя на безобидную рекламу.

Как работает вредоносное ПО FacexWorm

Если злонамеренная видеосвязь открывается с помощью браузера Chrome, FacexWorm перенаправляет жертву на поддельную страницу YouTube, где пользователю рекомендуется загружать вредоносное расширение Chrome в качестве расширения кодека для продолжения воспроизведения видео.

После установки расширение FacexWorm Chrome загружает дополнительные модули с сервера команд и управления для выполнения различных вредоносных задач.

«FacexWorm — это клон обычного расширения Chrome, но с коротким кодом, содержащим его основную подпрограмму, он загружает дополнительный код JavaScript с сервера C & C при открытии браузера», —  заявили исследователи.

«Каждый раз, когда жертва открывает новую веб-страницу, FacexWorm будет запрашивать свой сервер C & C для поиска и получения другого кода JavaScript (размещенного в репозитории Github) и выполнения его поведения на этой веб-странице».

Что может сделать вредоносное ПО FacexWorm:

  • Для дальнейшего распространения, вредоносная программа запрашивает токен доступа OAuth для учетной записи Facebook жертвы, используя которую автоматически получает список друзей жертвы и отправляет эту вредоносную ссылку на видео YouTube.
  • Вредоносное ПО обнаруживает учетную запись пользователя для Google, MyMonero и Coinhive как только жертва открывает страницу входа целевого сайта.
  • FacexWorm внедряет майнер криптовалют на веб-страницы, открытые жертвой.
  • FacexWorm захватывает транзакции, связанные с криптовалютами пользователя, путем нахождения адреса, введенного жертвой, и замены его на предоставляемый злоумышленником.
  • Когда вредоносное ПО обнаруживает, что пользователь обратился к одной из 52 криптовалютных торговых платформ или набрал такие ключевые слова, как «blockchain», «eth-» или «ethereum» в URL-адресе, FacexWorm перенаправит жертву на мошенническую веб-страницу, чтобы украсть данные пользователя. Целевые платформы включают Poloniex, HitBTC, Bitfinex, Ethfinex и Binance, а также кошелек Blockchain.info.
  • Чтобы избежать обнаружения или удаления, расширение FacexWorm немедленно закрывает открытую вкладку, когда обнаруживает, что пользователь открывает страницу управления расширениями Chrome.
  • Нападающий также получает реферальный стимул каждый раз, когда жертва регистрирует учетную запись на Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in или HashFlare.
fb3

Криптовалюты, на которые нацелен FacexWorm, включают Bitcoin (BTC), биткойн-золото (BTG), биткойн-наличные деньги (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), пульсацию (XRP), Litecoin (LTC), Zcash (ZEC) и Monero (XMR).

Вредоносное ПО FacexWorm было обнаружено в Германии, Тунисе, Японии, Тайване, Южной Корее и Испании. Но поскольку Facebook Messenger используется во всем мире, есть больше шансов на распространение вредоносного ПО во всем мире.

Интернет-магазин Chrome удалил многие из вредоносных расширений, прежде чем они были уведомлены исследователями Trend Micro, но злоумышленники продолжают загружать их обратно.

Исследователи сказали, что Facebook Messenger также обнаруживает вредоносные, социально спроектированные ссылки и регулярно блокирует поведение распространения затронутых аккаунтов Facebook.

Поскольку кампании Facebook Spam довольно распространены, пользователям рекомендуется проявлять бдительность при нажатии на ссылки и файлы, предоставляемые через платформу сайта социальных сетей.

Опубликовано по материалам блога Владимира Безмалого 

Комментарии: