Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera
Opisi virusa, 03.05.2018, 09:30 AM
Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite - možda ne treba da kliknete na njega.
Istraživači kompanije Trend Micro upozorili su korisnike na maliciozni dodatak za Chrome koji se širi preko Facebook Messengera i cilja korisnike platformi za trgovinu kriptovalutom da bi im ukrao lozinke za pristup nalozima.
Tehnika napada nazvanog FacexWorm koju koristi zlonamerna ekstenzija prvi put je primećena u avgustu prošle godine, ali istraživači kažu da je ranije ovog meseca malver prepakovan i opremljen sa nekoliko novih opcija.
Nove opcije uključuju krađu lozinki naloga sa web sajtova koji su zanimljivi FacexWormu, preusmeravanje žrtava na prevare sa kriptovalutama, ubacivanje majnera za rudarenje kriptovalutena web stranice itd.
Ovo nije prvi malver koji zloupotrebljava Facebook Messenger da bi se širio kao crv. Prošle prošle godine istraživači iz kompanije Trend Micro otkrili su malver za rudarenje Monero kriptovalute, nazvan Digmine, koji se širio putem Facebook Messengera i ciljao Windows računare, kao i Google Chrome.
Kao i Digmine, i FacexWorm koristi društveni inženjering slanjem linkova preko Facebook Messengera prijateljima kompromitovanog Facebook naloga koji preusmeravaju nove potencijalne žrtve na lažne verzije popularnih web sajtova kao što je YouTube.
FacexWorm ekstenzija je dizajnirana samo za napade na korisnike Chromea. Ako malver detektuje neki drugi browser na računaru žrtve, on preusmerava korisnika na naizgled bezazlenu reklamu.
Ako se maliciozni link otvori pomoću Chromea, FacexWorm preusmerava žrtvu na lažnu YouTube stranicu, gde se korisnik podstiče da preuzme zlonamernu Chrome ekstenziju kao kodek za nastavak reprodukcije videa.
Kada je instalirana, ekstenzija FacexWorm preuzima više modula sa svog komandnog i kontrolnog servera radi izvršavanja različitih zlonamernih zadataka.
FacexWorm je kopija normalnog Chrome dodatka, ali sa ubačenim kratkim kodom koji preuzima dodatni JavaScript kod sa C&C servera kada se browser otvori.
Svaki put kad žrtva otvori novu web stranicu, FacexWorm će tražiti od svog C&C servera da pronađe i preuzme drugi JavaScript kod (hostovan na Githubu) i obavi svoj zadatak na toj web stranici.
Pošto ekstenzija dobija sve proširene dozvole u trenutku instalacije, malver može pristupiti ili modifikovati podatke za sve web sajtove koje korisnik otvori.
Da bi se širio kao crv, malver zahteva OAuth pristupni token za Facebook nalog žrtve, čime automatski dobija listu prijatelja korisnika i šalje svima sa te liste maliciozni lažni link za YouTube video. Malver krade lozinke za Google, MyMonero i Coinhive naloge, kada otkrije da je žrtva otvorila stranicu za prijavljivanje na ciljanom web sajtu. FacexWorm ubacuje majner kriptovalute na web stranice koje je otvorila žrtva, koji zatim koristi računar za kopanje digitalnog novca za račun napadača. Malver preotima transakcije kriptovalutama korisnika tako što locira adresu koju je žrtva unela i zamenjuje je adresom napadača.
Da bi izbegla otkrivanje ili uklanjanje, ekstenzija FacexWorm odmah zatvara otvoreni jezičak kada otkrije da korisnik otvara stranicu za upravljanje ekstenzijama Chromea.
Kriptovalute koje cilja FacexWorm uključuju Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) i Monero (XMR).
FacexWorm se pojavio u Nemačkoj, Tunisu, Japanu, Tajvanu, Južnoj Koreji i Španiji. Ali pošto se Facebook Messenger koristi širom sveta, velike su šanse da se malver širi po celom svetu.
Chrome Web prodavnica je uklonila mnoge maliciozne ekstenzije pre nego što su ih obavestili istraživači kompanije Trend Micro, ali napadači ih ponovo postavljaju u prodavnicu.
Facebook Messenger takođe može otkriti maliciozne linkove i blokirati širenje malvera sa kompromitovanih Facebook naloga, kažu istraživači.
Budući da su Facebook spam kampanje prilično česte, korisnicima se savetuje da budu oprezni kada otvaraju linkove i fajlove na Facebooku.
Izdvojeno
Nevidljivi špijun: Remcos RAT
Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje
Popularna platforma se zloupotrebljava za širenje malvera
Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje
Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT
Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje
Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera
Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Pratite nas
Nagrade