Cybersecurity fast Radware har avdekket en ny malware kampanje på Facebook som har stjålet kontolegitimasjon og installert skript på offeret datamaskiner for å gruven for cryptocurrency. Navngitt Nigelthorn, malware kampanjen har vært aktiv siden mars 2018, og har infisert mer enn 100.000 brukere globalt. Det misbruk filtypen legitime Google Chrome Nigelify, som erstatter webbilder med bilder av Nigel Thornberry, tegnet fra tegneserie TV show The Wild Thornberrys, derav navnet Nigelthorn. 
Malware kampanjen som mål å lure brukere til å laste ned malware som kan kapre kontoer, og min for cryptocurrency.
Hvordan brukere får infisert?
Koblinger til infeksjonen spres via Facebook-meldinger og innlegg, og når brukere klikker på dem, de tatt med til en falsk YouTube nettside. Et popup-vindu vises spørsmål til filtypen Google Chrome for å spille av videoen. Hvis brukeren klikker på «Legg til forlengelsen», installerer malware på datamaskinen. Radware bemerker at kampanjen synes å fokusere på Chrome nettlesere, slik at brukere med andre lesere ikke bør være utsatt.
Infiserte brukeren starter så uvitende å spre malware via Facebook Messenger eller et nytt innlegg med koder for opptil 50 kontakter. Når noen trykker på linken, starter prosessen igjen.
Malware har å omgå Googles valideringskontroller, og ifølge Radware, gjøre at kampanjen operatørene opprettet kopier av legitime utvidelser og injisert en kort, uklar skadelig skript for å starte malware operasjonen. Sikkerhetsfirmaet har observert at det har vært syv av disse ondsinnede utvidelser, fire siden er blokkert av Google.
Malware evner
Malware kan stjele Facebook logikk credentials og Instagram cookies.
«Hvis logikk oppstår på maskinen (eller en Instagram cookie er funnet), det sendes til C2. Brukeren deretter omdirigeres den til en Facebook API å generere et tilgangstoken som sendes til C2 lykkes. Godkjente brukere Facebook tilgangstokener genereres og overføring-fase begynner. Malware samler inn relevant informasjon for å spre ondsinnet koblingen til brukerens nettverk.» Radware forklarer.
Sikkerhetsfirmaet bemerker også at et cryptomining verktøy er også ned, og angriperne hadde prøvd meg tre forskjellige mynter, Monero, Bytecoin og Electroneum.
«Angripere bruker et offentlig tilgjengelig nettleser-gruvedrift verktøy for å få infiserte maskiner å starte gruvedrift cryptocurrencies. JavaScript-koden er lastet ned fra eksterne nettsteder at gruppen kontrollerer og inneholder gruvedrift bassenget.»
Forskerne fra sikkerhet fast notat at rundt $1000 var minelagt på seks dager.
Beskytte deg mot slike malware
Facebook brukes til å spre noen form for malware er ikke noe nytt. Men mange brukere fortsatt forbli uvitende at å klikke på en merkelig linken sendt av en kontakt kan muligens føre til en malware infeksjon. Mens Facebook er vanligvis raskt for å fjerne skadelige koblinger fra meldinger og innlegg, er det fortsatt ikke fort nok til å hindre infeksjon 100%.
Likevel er det eneste brukere kan gjøre for å ikke infisere datamaskinen og har sine sosiale medier-kontoer ta over, og det er ikke klikke på merkelige koblinger, selv om de er sendt av en venn. En annen gylne regelen er å ikke installere ukjente filetternavn. Det har vært nok lignende malware kampanjer for brukerne å forstå at de ikke skal installere tilfeldig utvidelser bare fordi en popup forespørsel vises.