Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Opisi virusa, 03.05.2018, 09:30 AM

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite - možda ne treba da kliknete na njega.

Istraživači kompanije Trend Micro upozorili su korisnike na maliciozni dodatak za Chrome koji se širi preko Facebook Messengera i cilja korisnike platformi za trgovinu kriptovalutom da bi im ukrao lozinke za pristup nalozima.

Tehnika napada nazvanog FacexWorm koju koristi zlonamerna ekstenzija prvi put je primećena u avgustu prošle godine, ali istraživači kažu da je ranije ovog meseca malver prepakovan i opremljen sa nekoliko novih opcija.

Nove opcije uključuju krađu lozinki naloga sa web sajtova koji su zanimljivi FacexWormu, preusmeravanje žrtava na prevare sa kriptovalutama, ubacivanje majnera za rudarenje kriptovalutena web stranice itd.

Ovo nije prvi malver koji zloupotrebljava Facebook Messenger da bi se širio kao crv. Prošle prošle godine istraživači iz kompanije Trend Micro otkrili su malver za rudarenje Monero kriptovalute, nazvan Digmine, koji se širio putem Facebook Messengera i ciljao Windows računare, kao i Google Chrome.

Kao i Digmine, i FacexWorm koristi društveni inženjering slanjem linkova preko Facebook Messengera prijateljima kompromitovanog Facebook naloga koji preusmeravaju nove potencijalne žrtve na lažne verzije popularnih web sajtova kao što je YouTube.

FacexWorm ekstenzija je dizajnirana samo za napade na korisnike Chromea. Ako malver detektuje neki drugi browser na računaru žrtve, on preusmerava korisnika na naizgled bezazlenu reklamu.

Ako se maliciozni link otvori pomoću Chromea, FacexWorm preusmerava žrtvu na lažnu YouTube stranicu, gde se korisnik podstiče da preuzme zlonamernu Chrome ekstenziju kao kodek za nastavak reprodukcije videa.

Kada je instalirana, ekstenzija FacexWorm preuzima više modula sa svog komandnog i kontrolnog servera radi izvršavanja različitih zlonamernih zadataka.

FacexWorm je kopija normalnog Chrome dodatka, ali sa ubačenim kratkim kodom koji preuzima dodatni JavaScript kod sa C&C servera kada se browser otvori.

Svaki put kad žrtva otvori novu web stranicu, FacexWorm će tražiti od svog C&C servera da pronađe i preuzme drugi JavaScript kod (hostovan na Githubu) i obavi svoj zadatak na toj web stranici.

Pošto ekstenzija dobija sve proširene dozvole u trenutku instalacije, malver može pristupiti ili modifikovati podatke za sve web sajtove koje korisnik otvori.

Da bi se širio kao crv, malver zahteva OAuth pristupni token za Facebook nalog žrtve, čime automatski dobija listu prijatelja korisnika i šalje svima sa te liste maliciozni lažni link za YouTube video. Malver krade lozinke za Google, MyMonero i Coinhive naloge, kada otkrije da je žrtva otvorila stranicu za prijavljivanje na ciljanom web sajtu. FacexWorm ubacuje majner kriptovalute na web stranice koje je otvorila žrtva, koji zatim koristi računar za kopanje digitalnog novca za račun napadača. Malver preotima transakcije kriptovalutama korisnika tako što locira adresu koju je žrtva unela i zamenjuje je adresom napadača.

Da bi izbegla otkrivanje ili uklanjanje, ekstenzija FacexWorm odmah zatvara otvoreni jezičak kada otkrije da korisnik otvara stranicu za upravljanje ekstenzijama Chromea.

Kriptovalute koje cilja FacexWorm uključuju Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) i Monero (XMR).

FacexWorm se pojavio u Nemačkoj, Tunisu, Japanu, Tajvanu, Južnoj Koreji i Španiji. Ali pošto se Facebook Messenger koristi širom sveta, velike su šanse da se malver širi po celom svetu.

Chrome Web prodavnica je uklonila mnoge maliciozne ekstenzije pre nego što su ih obavestili istraživači kompanije Trend Micro, ali napadači ih ponovo postavljaju u prodavnicu.

Facebook Messenger takođe može otkriti maliciozne linkove i blokirati širenje malvera sa kompromitovanih Facebook naloga, kažu istraživači.

Budući da su Facebook spam kampanje prilično česte, korisnicima se savetuje da budu oprezni kada otvaraju linkove i fajlove na Facebooku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Rudarenje digitalnog novca je novi trend u svetu malvera, o čemu svedoči i nedavno otkriveni agresivni malver koga su primetili istraživači iz fir... Dalje

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Istraživači kompanije Proofpoint otkrili su novi malver koji krade sačuvane lozinke i podatke o platnim karticama iz Chromea i Firefoxa. Pored toga... Dalje

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da... Dalje

Novi sajber špijun ZooPark

Novi sajber špijun ZooPark

Istraživači kompanije Kaspersky Lab otkrili su ZooPark, sofisticiranu sajber špijunažu, koja je započela pre nekoliko godina i čiji su ciljevi k... Dalje

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite ... Dalje