Kiberbiztonsági cég Radware felfedeztek egy új malware kampány a Facebook-on, hogy ellopták a fiók hitelesítő adatait, és szkriptek áldozat számítógépeken telepített, annak érdekében, hogy az enyém a cryptocurrency. Nevezett Nigelthorn, a malware kampány 2018 március óta aktív, és a fertőzött több mint 100.000 felhasználó világszerte. Ez egy jogos Google Chrome kiterjesztés Nigelify, melyik helyettesít a webes képek a képek, Nigel Thornberry, a karakter a cartoon televíziós show a Wild Thornberrys, így a neve Nigelthorn visszaélések. 
A malware kampány célja, hogy a felhasználók becsapni Letöltés malware, hogy elrabol a számlák, és a cryptocurrency az enyém.
Hogyan felhasználó kap fertőzött?
Linkek a fertőzés terjednek keresztül Facebook-üzenetek és a hozzászólások, és mikor használók kettyenés-on őket, viszik a hamis YouTube honlapján. Egy előugró ablak akkor jelenik meg, azt kérdezi, egy Google Chrome-kiterjesztés hozzáadása a videó lejátszásához. Ha a felhasználó csattan-ra “Összead kiterjesztés”, a malware telepíti a számítógépre. Radware megjegyzi, hogy a kampány úgy tűnik, hogy a hangsúly a Chrome böngésző, tehát a felhasználók segítségével más böngészőkben nem veszélyeztetett.
A fertőzött felhasználó akkor kezdődik, tudatlanul terjed a rosszindulatú programok, via Facebook Messenger vagy egy új üzenet, a címkék a legfeljebb 50 kapcsolatok. Ha valaki megnyomja a link, a folyamat kezdődik elölről.
A malware birtokol-hoz kitérő a Google érvényességi ellenőrzések, és a szerint Radware, hogy a kampány szereplők jogos kiterjesztések másolatát készítette, és beadni egy rövid, obfuscated rosszindulatú parancsfájl a malware művelet elindításához. A biztonsági cég megállapította, hogy már hét ilyen rosszindulatú kiterjesztések, amelyből négy azóta blokkolta a Google.
Malware képességek
A malware tud lop Facebook bejelentkezési hitelesítő adatok és a Instagram cookie-kat.
“Ha logika akkor fordul elő, a gép (vagy a Instagram cookie található), ez fog küldeni a C2. A felhasználó ezután átirányítja a Facebook API-t, hogy létrehoz egy hozzáférési tokent, amely akarat is lenni küldött-hoz a C2 ha sikeres. Hitelesített felhasználók Facebook jogkivonatot jönnek létre, és a szaporítás fázisban kezdődik. A rosszindulatú programok adatokat gyűjt a megfelelő számla terjed a rosszindulatú hivatkozásra, hogy a felhasználó hálózati céljából.” Radware magyarázza.
A biztonsági cég is megállapítja, hogy egy cryptomining eszközt is letöltötték a támadók próbált három különböző érmék, Monero, Bytecoin és Electroneum az enyém.
“A támadók használ egy nyilvánosan elérhető böngésző-adatbányászati eszköz ahhoz, hogy a fertőzött gépek, bányászati cryptocurrencies kezdeni. A JavaScript-kód van letöltött-ból külső telek, hogy a csoport ellenőrzi, és tartalmazza a bányászati medence.”
A kutatók a biztonsági cég figyelmét, hogy ezen a környéken: $1000 bányásztak, hat nap.
Ilyen a kártevők elleni védekezés
Facebook lét használt-hoz elterül némely féle malware nem újdonság. Azonban sok felhasználó továbbra is tudatában annak, hogy egy kapcsolat által küldött egy furcsa linkre kattintva esetleg vezethet egy malware fertőzés. Míg Facebook általában gyors, hogy távolítsa el a rosszindulatú hivatkozások az üzenetek és közlemények,-a ‘ még nem a gyors ahhoz, hogy megakadályozzák a fertőzés 100 %-os.
Mindazonáltal van egy dolog felhasználó tud csinál-hoz nem fertőz a számítógép van a szociális média elszámolásaikat átvenni és hogy az, hogy kattintson a furcsa linkekre, még akkor is, ha ők küldött egy barátja. Egy másik aranyszabály az, hogy nem ismeretlen bővítmények telepítése. Elég hasonló malware kampányok megérteni, hogy azok ne telepítse a véletlenszerű kiterjesztés csak azért, mert úgy tűnik, egy pukkanás-megjelöl kereslet használók volna.