Radware شركة أمن الفضاء الحاسوبي وكشفت حملة الخبيثة جديدة على ألفيس بوك التي سرقت أوراق اعتماد الحساب وتثبيت البرامج النصية على أجهزة كمبيوتر الضحية من أجل الأعمال المتعلقة بالألغام كريبتوكورينسي. يدعى نيجيلثورن، هذه الحملة الخبيثة نشط منذ آذار/مارس عام 2018، وأصاب أكثر من 100، 000 المستخدمين على الصعيد العالمي. أنه يسيء استخدام ملحق Google Chrome شرعية نيجيليفي، الذي يحل محل الصور على شبكة الإنترنت مع صور من نايجل ثورنبري، الحرف من الكرتون تلفزيوني “البرية ثورنبيريس”، وبالتالي اسم نيجيلثورن. 
وتهدف هذه الحملة الخبيثة لخداع المستخدمين إلى تنزيل البرامج الضارة التي خطف الحسابات، والأعمال المتعلقة بالألغام كريبتوكورينسي.
كيف احصل على إصابة المستخدمين؟
ارتباطات للعدوى تنتشر عبر رسائل ألفيس بوك، والوظائف، وعندما ينقر المستخدمون على لهم، أخذوا على موقع يوتيوب وهمية. ثم يظهر نافذة منبثقة تطلب إضافة ملحق Google Chrome من أجل تشغيل الفيديو. إذا كان المستخدم بالنقر فوق “إضافة ملحق”، تثبيت البرامج الضارة على جهاز الكمبيوتر. ويلاحظ Radware أن الحملة يركز متصفحات Chrome، حيث لا ينبغي أن يكون المستخدمين باستخدام المستعرضات الأخرى المعرضة للخطر على ما يبدو.
ثم يبدأ المستخدم مصاب تدري انتشار البرامج الضارة عن طريق رسول فيسبوك أو وظيفة جديدة مع العلامات للاتصالات تصل إلى 50. عندما شخص ما يضغط على الرابط، وتبدأ العملية مرة أخرى.
الخبيثة لتجاوز اختبارات التحقق من Google، ووفقا Radware، أن منظمي الحملة إنشاء نسخ ملحقات المشروعة وحقن قصيرة، غموض الخبيثة البرنامج النصي لبدء تشغيل البرامج الضارة. ولاحظت الشركة الأمنية أنه كانت هناك سبعة من هذه الملحقات الضارة، أربعة منها قد منعت منذ ذلك الحين من جوجل.
قدرات البرامج الضارة
الخبيثة يمكن سرقة أوراق اعتماد تسجيل الدخول فيس بوك وملفات تعريف الارتباط Instagram.
“إذا حدث تسجيل الدخول على الجهاز (أو يتم العثور على ملف تعريف ارتباط Instagram)، سيتم إرسالها إلى C2. ثم يتم إعادة توجيه المستخدم إلى واجهة “برمجة تطبيقات ألفيس بوك” لإنشاء الرمز مميز لوصول التي سيتم أيضا إرسالها C2 إذا نجحت. يتم إنشاء أمام رموز الوصول المميزة المستخدمين المصادق عليهم ويبدأ مرحلة النشر. الخبيثة يجمع المعلومات حساب ذات الصلة لغرض نشر وصلة خبيثة للشبكة للمستخدم “. توضح هذه المقالة Radware.
كما تلاحظ الشركة الأمنية أن يتم أيضا تحميل أداة كريبتومينينج، وقد حاول المهاجمون بالألغام ثلاث عملات مختلفة، مونرو، وبيتيكوين واليكترونيوم.
“المهاجمين استخدام أداة المستعرض-التعدين متاحة للجمهور للحصول على الأجهزة المصابة لبدء التعدين كريبتوكورينسيس. تحميل التعليمة البرمجية JavaScript من المواقع الخارجية أن المجموعة عناصر التحكم ويحتوي على مجمع التعدين “.
الباحثون من ملاحظة شركة الأمن التي كانت مزروعة بالألغام في ستة أيام حوالي 1000 دولار.
حماية نفسك من هذه البرامج الضارة
فيس بوك يجري استخدامها لنشر نوع من البرامج الضارة ليس شيئا جديداً. بيد أن الكثير من المستخدمين لا تزال غير مدركين أن النقر على وصلة غريبة مرسلة من جهة اتصال ربما يمكن أن يؤدي إلى إصابة البرامج ضارة. بينما ألفيس بوك عموما سريعة لإزالة ارتباطات خبيثة من رسائل والوظائف، لا تزال ليست سريعة بما يكفي لمنع الإصابة بنسبة 100%.
على الرغم من ذلك، هناك شيء واحد المستخدمين يمكن القيام به لعدم إصابة أجهزة الكمبيوتر الخاصة بهم وقد تولي حساباتهم الاجتماعية وسائل الإعلام، وهذا عدم النقر على روابط غريبة، حتى ولو يتم إرسالها عن طريق صديق. قاعدة ذهبية أخرى عدم تثبيت ملحقات غير معروفة. وهناك ما يكفي الحملات الخبيثة مشابهة للمستخدمين على فهم أنهم لا يجب تثبيت ملحقات عشوائية لمجرد طلب منبثق يظهر.