Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Opisi virusa, 03.05.2018, 09:30 AM

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite - možda ne treba da kliknete na njega.

Istraživači kompanije Trend Micro upozorili su korisnike na maliciozni dodatak za Chrome koji se širi preko Facebook Messengera i cilja korisnike platformi za trgovinu kriptovalutom da bi im ukrao lozinke za pristup nalozima.

Tehnika napada nazvanog FacexWorm koju koristi zlonamerna ekstenzija prvi put je primećena u avgustu prošle godine, ali istraživači kažu da je ranije ovog meseca malver prepakovan i opremljen sa nekoliko novih opcija.

Nove opcije uključuju krađu lozinki naloga sa web sajtova koji su zanimljivi FacexWormu, preusmeravanje žrtava na prevare sa kriptovalutama, ubacivanje majnera za rudarenje kriptovalutena web stranice itd.

Ovo nije prvi malver koji zloupotrebljava Facebook Messenger da bi se širio kao crv. Prošle prošle godine istraživači iz kompanije Trend Micro otkrili su malver za rudarenje Monero kriptovalute, nazvan Digmine, koji se širio putem Facebook Messengera i ciljao Windows računare, kao i Google Chrome.

Kao i Digmine, i FacexWorm koristi društveni inženjering slanjem linkova preko Facebook Messengera prijateljima kompromitovanog Facebook naloga koji preusmeravaju nove potencijalne žrtve na lažne verzije popularnih web sajtova kao što je YouTube.

FacexWorm ekstenzija je dizajnirana samo za napade na korisnike Chromea. Ako malver detektuje neki drugi browser na računaru žrtve, on preusmerava korisnika na naizgled bezazlenu reklamu.

Ako se maliciozni link otvori pomoću Chromea, FacexWorm preusmerava žrtvu na lažnu YouTube stranicu, gde se korisnik podstiče da preuzme zlonamernu Chrome ekstenziju kao kodek za nastavak reprodukcije videa.

Kada je instalirana, ekstenzija FacexWorm preuzima više modula sa svog komandnog i kontrolnog servera radi izvršavanja različitih zlonamernih zadataka.

FacexWorm je kopija normalnog Chrome dodatka, ali sa ubačenim kratkim kodom koji preuzima dodatni JavaScript kod sa C&C servera kada se browser otvori.

Svaki put kad žrtva otvori novu web stranicu, FacexWorm će tražiti od svog C&C servera da pronađe i preuzme drugi JavaScript kod (hostovan na Githubu) i obavi svoj zadatak na toj web stranici.

Pošto ekstenzija dobija sve proširene dozvole u trenutku instalacije, malver može pristupiti ili modifikovati podatke za sve web sajtove koje korisnik otvori.

Da bi se širio kao crv, malver zahteva OAuth pristupni token za Facebook nalog žrtve, čime automatski dobija listu prijatelja korisnika i šalje svima sa te liste maliciozni lažni link za YouTube video. Malver krade lozinke za Google, MyMonero i Coinhive naloge, kada otkrije da je žrtva otvorila stranicu za prijavljivanje na ciljanom web sajtu. FacexWorm ubacuje majner kriptovalute na web stranice koje je otvorila žrtva, koji zatim koristi računar za kopanje digitalnog novca za račun napadača. Malver preotima transakcije kriptovalutama korisnika tako što locira adresu koju je žrtva unela i zamenjuje je adresom napadača.

Da bi izbegla otkrivanje ili uklanjanje, ekstenzija FacexWorm odmah zatvara otvoreni jezičak kada otkrije da korisnik otvara stranicu za upravljanje ekstenzijama Chromea.

Kriptovalute koje cilja FacexWorm uključuju Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) i Monero (XMR).

FacexWorm se pojavio u Nemačkoj, Tunisu, Japanu, Tajvanu, Južnoj Koreji i Španiji. Ali pošto se Facebook Messenger koristi širom sveta, velike su šanse da se malver širi po celom svetu.

Chrome Web prodavnica je uklonila mnoge maliciozne ekstenzije pre nego što su ih obavestili istraživači kompanije Trend Micro, ali napadači ih ponovo postavljaju u prodavnicu.

Facebook Messenger takođe može otkriti maliciozne linkove i blokirati širenje malvera sa kompromitovanih Facebook naloga, kažu istraživači.

Budući da su Facebook spam kampanje prilično česte, korisnicima se savetuje da budu oprezni kada otvaraju linkove i fajlove na Facebooku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje