Cybersikkerhed firma Radware har afsløret en ny malware kampagne på Facebook, der har stjålet konto legitimationsoplysninger og installerede scripts på offer computere for at mine cryptocurrency. Opkaldt Nigelthorn, malware-kampagne har været aktiv siden marts 2018, og har inficeret mere end 100.000 brugere globalt. Det misbruger filtypenavnet legitime Google Chrome Nigelify, som erstatter webbilleder med billeder af Nigel Thornberry, tegn fra tegneserie tv-show The vilde hans, deraf navnet Nigelthorn. Nigel thorn malware can steal Facebook credentials and mine for cryptocurrency

Malware-kampagnen har til formål at narre brugere til at downloade malware, der ville kapre konti, og minen for cryptocurrency.

Hvordan brugere blive smittet?

Links til infektionen spredes via Facebook beskeder og indlæg, og når brugerne klikker på dem, de er taget til en falske YouTube-webstedet. Et pop-up-vindue vises derefter bede om at tilføje en Google Chrome udvidelse for at afspille videoen. Hvis brugeren klikker på “Tilføj udvidelse”, installerer malware på computeren. Radware bemærker, at kampagnen synes at fokusere på Chrome browsere, så brugere, der anvender andre browsere ikke bør være i fare.

Den inficerede bruger starter derefter ubevidst sprede malware via Facebook Messenger eller en ny post med tags for op til 50 kontakter. Når nogen trykker på linket, begynder processen igen.

Malwaren har hen til omgå Googles valideringskontrolprocedurer, og ifølge Radware, at gøre det operatorerne kampagne lavet kopier af legitime udvidelser og injiceres en kort korrumperet ondsindet script til at starte handlingen malware. Vagtselskab har konstateret, at der har været syv af disse ondsindede extensions, hvoraf fire har været siden blokeret af Google.

Malware kapaciteter

Malwaren kan stjæle Facebook login legitimationsoplysninger og cookies, Instagram.

“Hvis login sker på maskinen (eller en Instagram cookie er fundet), det sendes til C2. Brugeren derefter omdirigeres til en Facebook-API til at generere et adgangstoken, der vil også blive sendt til C2 hvis succes. Godkendte brugere Facebook adgangstokens genereres og formering fase begynder. Malwaren indsamler relevante oplysninger med henblik på at sprede det skadelige link til brugerens netværk.” Radware forklarer.

Vagtselskab bemærker også at en cryptomining værktøj er også downloadet, og angriberne havde forsøgt at mine tre forskellige mønter, Monero, Bytecoin og Electroneum.

“Angriberne bruger et offentligt tilgængelige browser-mining værktøj til at få de inficerede maskiner at starte minedrift cryptocurrencies. JavaScript-kode er hentet fra eksterne sider at gruppen styrer og indeholder minedrift pool.”

Forskere fra sikkerhed fast noten, at omkring $1000 blev udvundet i seks dage.

Beskytte dig selv mod sådan malware

Facebook bliver brugt til at sprede nogle slags malware er ikke noget nyt. Dog, en masse brugere stadig er uvidende om, at klikke på en mærkelig samkøre sendt af en kontakt kan muligvis føre til en malware-infektion. Mens Facebook er generelt hurtig til at fjerne skadelige links fra meddelelser og indlæg, er det stadig ikke hurtigt nok til at forhindre infektion 100%.

Ikke desto mindre, der er én ting brugere kan gøre for at ikke inficere deres computere og har deres social media konti overtage, og thats ikke klikke på mærkelige links, selvom de sendes af en ven. En anden gyldne regel er ikke at installere ukendt udvidelser. Der har været nok lignende malware kampagner for brugerne at forstå at de ikke bør installere tilfældige extensions, bare fordi en pop-up-anmodning vises.

Skriv et svar