Počítačová firma Radware odhalil nový malware kampaň na Facebooku, která má krádeže pověření účtu a nainstalované skripty v oběť počítačích kvůli těžbě kryptoměn. Pojmenované Nigelthorn, malware kampaň působí od března 2018 a napadl více než 100 000 uživatelů globálně. Zneužívá legitimní Google Chrome rozšíření Nigelify, který nahrazuje webové obrázky s fotografiemi Nigel Thornberryová, postava z kresleného seriálu The Wild Thornberrys spolupracují, tak jméno Nigelthorn. 
Malware kampaň se snaží přimět uživatele ke stažení malware, který by unést účty a mé kryptoměn.
Jak uživatelé nakazit?
Odkazy na infekce se šíří prostřednictvím Facebook zprávy a příspěvky, a když uživatel klikne na ně, jsou přijímána na falešné webové stránky YouTube. Potom zobrazí okno dotazem přidat příponu Google Chrome Chcete-li video přehrát. Pokud uživatel klepne na „Add extension“, malware nainstaluje do počítače. Radware konstatuje, že kampaň zdá se, že zaměřit se na Chrome prohlížeče, takže uživatelé, kteří používají jiné prohlížeče by neměl být ohrožen.
Infikovaných uživatel pak začne nevědomky šíření malwaru prostřednictvím Facebook Messenger nebo nový příspěvek s tagy pro až 50 kontaktů. Když někdo stiskne na odkaz, proces začíná znovu.
Malware má obejít kontroly platnosti společnosti Google a podle Radware, že operátory kampaň vytvořena kopie legitimní rozšíření a injekčně krátký, zamaskované škodlivý skript spusťte operaci malware. Bezpečnostní firma zjistila, že byly sedm z těchto škodlivé rozšíření, z nichž čtyři jsou blokovány od společností Google.
Malware schopnosti
Malware může ukrást přihlašovací údaje Facebook a Instagram soubory cookie.
„Pokud dojde k přihlášení v počítači (nebo soubor cookie služby Instagram nachází), bude odeslána do C2. Uživatel je pak přesměrován na Facebook API pro generování přístupový token, který bude také zaslána C2 v případě úspěchu. Ověřené uživatele Facebooku přístupové tokeny jsou generovány a začíná fáze množení. Malware shromažďuje informace o účtu pro účely šíření na škodlivý odkaz do uživatelovy sítě.“ Radware vysvětluje.
Bezpečnostní firma rovněž konstatuje, že cryptomining nástroj je také stáhnout, a útočníci se snažil mé tři různé mince, Monero, Bytecoin a Electroneum.
„Útočníci používají veřejně přístupné nástroje prohlížeče dolování získat infikovaných počítačů k zahájení těžby kryptoměna. Kód jazyka JavaScript je stažen z externích webů, že skupina ovládá a obsahuje dolování bazén.“
Výzkumníci z bezpečnostní firmy Všimněte si, že kolem 1000 dolarů byl těžen v šesti dnech.
Chránit se proti takové malware
Facebook používá šířit nějaký druh malware není nic nového. Nicméně mnoho uživatelů stále zůstávají netuší, že kliknutí na zvláštní odkaz zaslaný kontaktu by mohlo vést k napadení malwarem. Facebook je sice obecně rychle odstranit škodlivé odkazy ze zprávy a vystavené položky, to nestačí stále ne rychle zabránit infekci 100 %.
Nicméně tam je jedna věc uživatelé mohou udělat ne infikovat své počítače a mají své účty na sociálních médiích převzít, a to je neklepat na podivný odkaz, i v případě, že jsou odeslány přítel. Další zlaté pravidlo je neinstalovat neznámé rozšíření. Tam byly dost podobné malwarové kampaně pro uživatele, aby pochopili, že neměli instalovat náhodné rozšíření, jen proto, že se zobrazí automaticky otevírané žádosti.