Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Opisi virusa, 03.05.2018, 09:30 AM

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite - možda ne treba da kliknete na njega.

Istraživači kompanije Trend Micro upozorili su korisnike na maliciozni dodatak za Chrome koji se širi preko Facebook Messengera i cilja korisnike platformi za trgovinu kriptovalutom da bi im ukrao lozinke za pristup nalozima.

Tehnika napada nazvanog FacexWorm koju koristi zlonamerna ekstenzija prvi put je primećena u avgustu prošle godine, ali istraživači kažu da je ranije ovog meseca malver prepakovan i opremljen sa nekoliko novih opcija.

Nove opcije uključuju krađu lozinki naloga sa web sajtova koji su zanimljivi FacexWormu, preusmeravanje žrtava na prevare sa kriptovalutama, ubacivanje majnera za rudarenje kriptovalutena web stranice itd.

Ovo nije prvi malver koji zloupotrebljava Facebook Messenger da bi se širio kao crv. Prošle prošle godine istraživači iz kompanije Trend Micro otkrili su malver za rudarenje Monero kriptovalute, nazvan Digmine, koji se širio putem Facebook Messengera i ciljao Windows računare, kao i Google Chrome.

Kao i Digmine, i FacexWorm koristi društveni inženjering slanjem linkova preko Facebook Messengera prijateljima kompromitovanog Facebook naloga koji preusmeravaju nove potencijalne žrtve na lažne verzije popularnih web sajtova kao što je YouTube.

FacexWorm ekstenzija je dizajnirana samo za napade na korisnike Chromea. Ako malver detektuje neki drugi browser na računaru žrtve, on preusmerava korisnika na naizgled bezazlenu reklamu.

Ako se maliciozni link otvori pomoću Chromea, FacexWorm preusmerava žrtvu na lažnu YouTube stranicu, gde se korisnik podstiče da preuzme zlonamernu Chrome ekstenziju kao kodek za nastavak reprodukcije videa.

Kada je instalirana, ekstenzija FacexWorm preuzima više modula sa svog komandnog i kontrolnog servera radi izvršavanja različitih zlonamernih zadataka.

FacexWorm je kopija normalnog Chrome dodatka, ali sa ubačenim kratkim kodom koji preuzima dodatni JavaScript kod sa C&C servera kada se browser otvori.

Svaki put kad žrtva otvori novu web stranicu, FacexWorm će tražiti od svog C&C servera da pronađe i preuzme drugi JavaScript kod (hostovan na Githubu) i obavi svoj zadatak na toj web stranici.

Pošto ekstenzija dobija sve proširene dozvole u trenutku instalacije, malver može pristupiti ili modifikovati podatke za sve web sajtove koje korisnik otvori.

Da bi se širio kao crv, malver zahteva OAuth pristupni token za Facebook nalog žrtve, čime automatski dobija listu prijatelja korisnika i šalje svima sa te liste maliciozni lažni link za YouTube video. Malver krade lozinke za Google, MyMonero i Coinhive naloge, kada otkrije da je žrtva otvorila stranicu za prijavljivanje na ciljanom web sajtu. FacexWorm ubacuje majner kriptovalute na web stranice koje je otvorila žrtva, koji zatim koristi računar za kopanje digitalnog novca za račun napadača. Malver preotima transakcije kriptovalutama korisnika tako što locira adresu koju je žrtva unela i zamenjuje je adresom napadača.

Da bi izbegla otkrivanje ili uklanjanje, ekstenzija FacexWorm odmah zatvara otvoreni jezičak kada otkrije da korisnik otvara stranicu za upravljanje ekstenzijama Chromea.

Kriptovalute koje cilja FacexWorm uključuju Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) i Monero (XMR).

FacexWorm se pojavio u Nemačkoj, Tunisu, Japanu, Tajvanu, Južnoj Koreji i Španiji. Ali pošto se Facebook Messenger koristi širom sveta, velike su šanse da se malver širi po celom svetu.

Chrome Web prodavnica je uklonila mnoge maliciozne ekstenzije pre nego što su ih obavestili istraživači kompanije Trend Micro, ali napadači ih ponovo postavljaju u prodavnicu.

Facebook Messenger takođe može otkriti maliciozne linkove i blokirati širenje malvera sa kompromitovanih Facebook naloga, kažu istraživači.

Budući da su Facebook spam kampanje prilično česte, korisnicima se savetuje da budu oprezni kada otvaraju linkove i fajlove na Facebooku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi sajber špijun, backdoor GreyEnergy

Novi sajber špijun, backdoor GreyEnergy

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) gr... Dalje

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje