Cybersecurity ferma Radware hanno scoperto una nuova campagna di malware su Facebook che ha rubato le credenziali dell’account e installato script sul computer vittima al fine di miniera per cryptocurrency. Denominato Nigelthorn, la campagna di malware è stato attiva dal marzo 2018 e ha infettato più di 100.000 utenti a livello globale. Abusa di un’estensione di legittimo Google Chrome Nigelify, che sostituisce le immagini web con immagini di Nigel Thornberry, il personaggio da cartone animato televisivo The Wild Thornberrys, così il nome Nigelthorn. 
La campagna di malware mira a ingannare gli utenti a scaricare malware che potrebbe dirottare gli account e mio per cryptocurrency.
Come gli utenti infettati?
Collegamenti per l’infezione si diffondono tramite post e messaggi di Facebook, e quando gli utenti fanno clic su di essi, vengono indirizzati a un sito Web fasullo di YouTube. Quindi viene visualizzata una finestra che chiede di aggiungere un’estensione di Google Chrome al fine di riprodurre il video. Se l’utente fa clic su “Aggiungi estensione”, il malware viene installato sul computer. Radware osserva che la campagna sembra concentrarsi sul browser Chrome, in modo gli utenti che utilizzano altri browser non dovrebbero essere a rischio.
L’utente infetto poi inizia inconsapevolmente diffondere il malware tramite Facebook Messenger o un nuovo post con tag per fino a 50 contatti. Quando qualcuno preme sul link, il processo ricomincia.
Il malware deve ignorare i controlli di convalida di Google e secondo Radware, a tal fine gli operatori di campagna creato copie di estensioni legittime ed iniettato un breve, offuscato script dannoso per avviare l’operazione di malware. La società di sicurezza ha osservato che ci sono stati sette di queste estensioni dannose, quattro dei quali sono stati da allora bloccati da Google.
Funzionalità di malware
Il malware può rubare le credenziali di accesso di Facebook e Instagram cookies.
“Se di accesso si verifica sul computer (o un cookie di Instagram è trovato), esso si verrà inviato al C2. L’utente viene reindirizzato a un’API di Facebook per generare un token di accesso che verrà inviato anche alla C2 in caso di esito positivo. I token di accesso di Facebook gli utenti autenticati vengono generati e inizia la fase di propagazione. Il malware raccoglie informazioni di conto in questione allo scopo di diffondere il link dannoso per rete l’utente della.” Radware spiega.
La società di sicurezza nota anche che viene scaricato anche uno strumento di cryptomining, e gli attaccanti avevano provato al mio tre monete diverse, Monero, Bytecoin ed Electroneum.
“Gli aggressori utilizza uno strumento browser-minerario pubblicamente disponibile per ottenere le macchine infette per avviare data mining cryptocurrencies. Il codice JavaScript è scaricato da siti esterni che il gruppo controlla e contiene la piscina mineraria”.
I ricercatori dalla nota ditta di sicurezza che intorno $1000 è stato estratto in sei giorni.
Protezione contro i malware
Facebook viene utilizzato per diffondere qualche tipo di malware è nulla di nuovo. Tuttavia, molti utenti rimangono ancora ignari che cliccando su un link strano inviato da un contatto potrebbe eventualmente portare ad un’infezione da malware. Mentre Facebook è generalmente rapido rimuovere link malevoli da messaggi e post, è ancora non veloce abbastanza prevenire l’infezione 100%.
Tuttavia, c’è una cosa che gli utenti possono fare per non infettare i loro computer e hanno il loro account di social media assumere, e che è quello di non cliccare su link strani, anche se vengono inviati da un amico. Un’altra regola d’oro è di non installare estensioni sconosciute. Ci sono stati abbastanza simili campagne di malware per gli utenti di comprendere che essi non dovrebbero installare estensioni casuale solo perché viene visualizzata una richiesta di pop-up.