Trazi

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Opisi virusa, 03.05.2018, 09:30 AM

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite - možda ne treba da kliknete na njega.

Istraživači kompanije Trend Micro upozorili su korisnike na maliciozni dodatak za Chrome koji se širi preko Facebook Messengera i cilja korisnike platformi za trgovinu kriptovalutom da bi im ukrao lozinke za pristup nalozima.

Tehnika napada nazvanog FacexWorm koju koristi zlonamerna ekstenzija prvi put je primećena u avgustu prošle godine, ali istraživači kažu da je ranije ovog meseca malver prepakovan i opremljen sa nekoliko novih opcija.

Nove opcije uključuju krađu lozinki naloga sa web sajtova koji su zanimljivi FacexWormu, preusmeravanje žrtava na prevare sa kriptovalutama, ubacivanje majnera za rudarenje kriptovalutena web stranice itd.

Ovo nije prvi malver koji zloupotrebljava Facebook Messenger da bi se širio kao crv. Prošle prošle godine istraživači iz kompanije Trend Micro otkrili su malver za rudarenje Monero kriptovalute, nazvan Digmine, koji se širio putem Facebook Messengera i ciljao Windows računare, kao i Google Chrome.

Kao i Digmine, i FacexWorm koristi društveni inženjering slanjem linkova preko Facebook Messengera prijateljima kompromitovanog Facebook naloga koji preusmeravaju nove potencijalne žrtve na lažne verzije popularnih web sajtova kao što je YouTube.

FacexWorm ekstenzija je dizajnirana samo za napade na korisnike Chromea. Ako malver detektuje neki drugi browser na računaru žrtve, on preusmerava korisnika na naizgled bezazlenu reklamu.

Ako se maliciozni link otvori pomoću Chromea, FacexWorm preusmerava žrtvu na lažnu YouTube stranicu, gde se korisnik podstiče da preuzme zlonamernu Chrome ekstenziju kao kodek za nastavak reprodukcije videa.

Kada je instalirana, ekstenzija FacexWorm preuzima više modula sa svog komandnog i kontrolnog servera radi izvršavanja različitih zlonamernih zadataka.

FacexWorm je kopija normalnog Chrome dodatka, ali sa ubačenim kratkim kodom koji preuzima dodatni JavaScript kod sa C&C servera kada se browser otvori.

Svaki put kad žrtva otvori novu web stranicu, FacexWorm će tražiti od svog C&C servera da pronađe i preuzme drugi JavaScript kod (hostovan na Githubu) i obavi svoj zadatak na toj web stranici.

Pošto ekstenzija dobija sve proširene dozvole u trenutku instalacije, malver može pristupiti ili modifikovati podatke za sve web sajtove koje korisnik otvori.

Da bi se širio kao crv, malver zahteva OAuth pristupni token za Facebook nalog žrtve, čime automatski dobija listu prijatelja korisnika i šalje svima sa te liste maliciozni lažni link za YouTube video. Malver krade lozinke za Google, MyMonero i Coinhive naloge, kada otkrije da je žrtva otvorila stranicu za prijavljivanje na ciljanom web sajtu. FacexWorm ubacuje majner kriptovalute na web stranice koje je otvorila žrtva, koji zatim koristi računar za kopanje digitalnog novca za račun napadača. Malver preotima transakcije kriptovalutama korisnika tako što locira adresu koju je žrtva unela i zamenjuje je adresom napadača.

Da bi izbegla otkrivanje ili uklanjanje, ekstenzija FacexWorm odmah zatvara otvoreni jezičak kada otkrije da korisnik otvara stranicu za upravljanje ekstenzijama Chromea.

Kriptovalute koje cilja FacexWorm uključuju Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) i Monero (XMR).

FacexWorm se pojavio u Nemačkoj, Tunisu, Japanu, Tajvanu, Južnoj Koreji i Španiji. Ali pošto se Facebook Messenger koristi širom sveta, velike su šanse da se malver širi po celom svetu.

Chrome Web prodavnica je uklonila mnoge maliciozne ekstenzije pre nego što su ih obavestili istraživači kompanije Trend Micro, ali napadači ih ponovo postavljaju u prodavnicu.

Facebook Messenger takođe može otkriti maliciozne linkove i blokirati širenje malvera sa kompromitovanih Facebook naloga, kažu istraživači.

Budući da su Facebook spam kampanje prilično česte, korisnicima se savetuje da budu oprezni kada otvaraju linkove i fajlove na Facebooku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.