Cybersäkerhet fast Radware har upptäckt en ny malware kampanj på Facebook som har stulit kontoautentiseringsuppgifter och installerat skript på offret datorer för att gruva för kryptovaluta. Heter Nigelthorn, malware kampanjen har varit aktiv sedan mars 2018 och har infekterade mer än 100.000 användare globalt. Det missbrukar en legitim Google Chrome tillägget Nigelify, som ersätter webbilder med bilder av Nigel Thornberry, tecknet från tecknad TV-show The Wild Thornberrys, därav namnet Nigelthorn. 
Malware kampanjen syftar till att lura användare att ladda ned skadlig programvara som skulle kapa konton, och gruvan för kryptovaluta.
Hur användare bli smittad?
Länkar till infektionen sprids via Facebook-meddelanden och inlägg, och när användare klickar på dem, de tas till en falska YouTube-webbplatsen. Ett popup-fönster visas sedan frågar lägger till ett Google Chrome-tillägg för att spela upp videon. Om användaren klickar på ”Lägg till tillägget”, installeras skadlig kod på datorn. Radware noterar att kampanjen verkar fokusera på Chrome webbläsare, så användare som använder andra webbläsare inte bör vara i riskzonen.
Infekterade användaren startar sedan omedvetet sprider skadlig kod via Facebook Messenger eller ett nytt inlägg med taggar för upp till 50 kontakter. När någon trycker på länken, börjar processen igen.
Skadlig kod har att kringgå Googles valideringskontroller, och enligt Radware, att göra att kampanjen operatörerna skapade kopior av legitima förlängningar och injiceras en kort, förvrängd skadligt skript för att starta åtgärden malware. Bevakningsföretag har konstaterat att det har varit sju av dessa skadliga tillägg, varav fyra sedan har blockerats av Google.
Malware kapacitet
Malware kan stjäla inloggningsuppgifter för Facebook och Instagram cookies.
”Om inloggning sker på maskinen (eller en Instagram-cookie hittas), det skickas till C2. Användaren dirigeras sedan till ett Facebook-API för att generera en åtkomsttoken som skickas också till C2 om framgångsrika. Autentiserade användare Facebook åtkomst-token genereras och förökning fasen börjar. Malware samlar relevant kontoinformation i syfte att sprida skadliga länken till användarens nätverk ”. Radware förklarar.
Bevakningsföretag noterar även att ett cryptomining verktyg hämtas också, och angriparna hade försökt att bryta tre olika mynt, Monero, Bytecoin och Electroneum.
”Angriparna använder ett allmänt tillgänglig webbläsare-mining verktyg för att få de infekterade maskinerna att starta gruvdrift kryptovalutor. JavaScript-kod hämtas från externa webbplatser att gruppen kontrollerar och innehåller gruvdrift poolen ”.
Forskarna från säkerhet fast journalanteckningen runt $1000 bröts i sex dagar.
Skydda dig mot sådan skadlig programvara
Facebook används för att sprida någon form av malware är inget nytt. Emellertid, många användare fortfarande förblir omedvetna att klicka på en konstig länk som skickas av en kontakt kan möjligen leda till en malware infektion. Facebook är allmänt snabba att ta bort skadliga länkar från meddelanden och inlägg, är det fortfarande inte snabbt nog för att förhindra infektion 100%.
Ändå finns det en sak användare kan göra för att inte smitta sina datorer och har sina konton i sociala medier tar över, och det är att inte klicka på konstiga länkar, även om de skickas av en vän. En annan gyllene regel är att inte installera okända tillägg. Det har varit tillräckligt liknande malware kampanjer för användarna att förstå att de inte bör installera slumpmässiga tillägg bara för att visas en popup-förfrågan.