Cybersecurity feste Radware haben entdeckt, dass eine neue Malware-Kampagne auf Facebook, die Konto-Anmeldedaten gestohlen hat und Skripte auf Opfer-Computer installieren, um mir für kryptowährung. Namens Nigelthorn, die Malware-Kampagne seit März 2018 tätig und hat weltweit mehr als 100.000 Anwender infiziert. Es missbraucht eine legitime Google Chrome Erweiterung Nigelify, die Web-Bilder mit Bildern von Nigel Thornberry, den Charakter von Cartoon-TV-Show der Stachelbeeren, daher der Name Nigelthorn ersetzt. 
Die Malware-Kampagne zielt darauf ab, verleiten, dass Benutzer herunterladen von Malware, die Konten zu entführen, und mir für kryptowährung.
Wie Anwender infiziert?
Links zu der Infektion verteilen sich über Facebook-Nachrichten und Beiträge, und wenn Benutzer darauf klicken, werden sie auf eine gefälschte YouTube-Website. Ein Popup-Fenster gefragt, dann eine Google Chrome Erweiterung hinzufügen, um das Video abzuspielen. Wenn der Benutzer klickt auf “Add-Erweiterung”, wird die Malware auf dem Computer installiert. Radware stellt fest, die die Kampagne scheint Chrome Browser konzentrieren, damit Benutzer mit anderen Browsern nicht gefährdet werden sollte.
Der infizierte Benutzer startet dann unwissentlich Verbreitung von Malware via Facebook Messenger oder einen neuen Beitrag mit Tags für bis zu 50 Kontakte. Wenn jemand auf den Link drückt, beginnt der Prozess erneut.
Die Malware hat Googles Validierungsprüfungen umgehen und nach Radware, zu tun, dass die Kampagne Betreiber Kopien der legitimen Erweiterungen erstellt und eine kurze injiziert verschleiert schädliches Skript um die Malware-Vorgang zu starten. Das Security-Unternehmen hat beobachtet, dass gab es sieben dieser bösartige Erweiterungen, von denen vier da von Google blockiert wurden.
Malware-Funktionen
Die Malware kann Facebook-Login-Daten und Instagram Cookies stehlen.
“Anmeldung tritt an der Maschine (oder ein Instagram-Cookie gefunden), wird es die C2 zugesandt. Der Benutzer wird dann an eine Facebook-API, ein Zugriffstoken zu generieren, die auch die C2 im Erfolgsfall zugeschickt wird umgeleitet. Authentifizierte Benutzer Facebook Zugangs-Token generiert und die Ausbreitung-Phase beginnt. Die Malware sammelt relevanten Kontoinformationen zum Zwecke der Verbreitung der bösartigen Link auf das Netzwerk des Benutzers.” Radware erklärt.
Das Security-Unternehmen stellt ferner fest, dass eine Cryptomining-Tool wird auch heruntergeladen, und die Angreifer versucht hatte, mir drei verschiedene Münzen, Monero, Bytecoin und Electroneum.
“Die Angreifer eine öffentlich verfügbare Browser-Mining-Tool nutzen, um den infizierten Rechnern Bergbau kryptowährungen starten zu bekommen. Der JavaScript-Code wird von externen Websites, die die Gruppe steuert und die Mining-Pool enthält heruntergeladen.”
Die Forscher aus den Sicherheitshinweis fest, der um $1000 in sechs Tagen abgebaut wurde.
Schützen Sie sich gegen solche malware
Facebook verwendet wird, um irgendeine Art von Malware zu verbreiten ist nichts Neues. Jedoch viele Anwender immer noch nicht bewusst, dass der Klick auf einen seltsamen Link geschickt von einem Kontakt möglicherweise zu einer Malwareinfektion führen könnte. Während Facebook ist in der Regel schnell zu bösartigen Links aus Nachrichten und Beiträge zu entfernen, ist es immer noch nicht schnell genug, um Infektion zu verhindern, dass 100 %.
Dennoch gibt es eins Benutzer tun können, um nicht ihren Computer zu infizieren und ihre social Media-Konten übernehmen, und das soll nicht auf seltsame Links klicken, auch wenn sie von einem Freund geschickt werden. Eine weitere goldene Regel ist, nicht unbekannte Erweiterungen zu installieren. Es gab genug ähnliche Malware-Kampagnen für die Nutzer zu verstehen, dass sie nicht zufällige Erweiterungen installieren sollte, nur weil eine Pop-up-Anfrage erscheint.