Radware empresa de segurança cibernética ter descoberto uma nova campanha de malware no Facebook que tem roubado as credenciais da conta e instalado scripts em computadores de vítima para meu para cryptocurrency. Chamado Nigelthorn, a campanha de malware está ativa desde março de 2018 e infectou mais de 100.000 usuários globalmente. Ele abusa de um legítimo Google Chrome extensão Nigelify, que substitui imagens web com fotos de Nigel Thornberry, o personagem de desenho animado de televisão os Thornberrys, daí o nome Nigelthorn.
A campanha de malware visa enganar os usuários a baixar malware que sequestrar as contas e a minha pela cryptocurrency.
Como os usuários infectados?
Links para a infecção são espalhados através de posts e mensagens de Facebook, e quando os usuários clicarem neles, eles são levados para um site falso do YouTube. Em seguida, uma janela pop-up aparecerá perguntando para adicionar uma extensão de Google Chrome a fim de reproduzir o vídeo. Se o usuário clica em “Adicionar extensão”, o malware se instala no computador. RADWARE observa que a campanha parece centrar-se em Chrome, navegadores, assim os usuários que usam outros navegadores não devem ser em risco.
O usuário infectado depois começa inconscientemente a espalhar o malware via Facebook Messenger ou um novo post com tags para até 50 contatos. Quando alguém pressiona no link, o processo começa novamente.
O malware tem que ignorar as verificações de validação do Google e de acordo com Radware, fazer que os operadores da campanha criado cópias legítimas extensões e injetou um curto-circuito, ofuscado script mal-intencionado para iniciar a operação de malware. A empresa de segurança tem observado que há sete dessas extensões maliciosas, quatro dos quais já tenham sido bloqueadas pelo Google.
Recursos de malware
O malware pode roubar credenciais de login do Facebook e biscoitos Instagram.
“Se o logon ocorre na máquina (ou um cookie do Instagram é encontrado), ele será enviado para o C2. O usuário é redirecionado para um API do Facebook para gerar um token de acesso que também será enviado para o C2 se for bem sucedida. Tokens de acesso dos usuários autenticados Facebook são gerados e começa a fase de propagação. O malware coleta informações de conta relevante, com a finalidade de espalhar o link malicioso para a rede do usuário.” RADWARE explica.
A empresa de segurança também observa que uma ferramenta de cryptomining também é baixada, e os atacantes tinham tentado três moedas diferentes, Monero, Bytecoin e Electroneum o meu.
“Os atacantes estão usando uma ferramenta de navegador-mineração publicamente disponível para obter máquinas infectadas para começar a mineração cryptocurrencies. O código JavaScript é baixado de sites externos que o grupo controla e contém o pool de mineração.”
Os pesquisadores da nota firme segurança que, por volta de US $1000, foi minado em seis dias.
Protegendo-se contra tal malware
Facebook usado para espalhar a algum tipo de malware não é novidade. No entanto, muitos usuários ainda permanecem inconscientes de que clicando em um link estranho, enviado por um contato possivelmente poderia levar a uma infecção de malware. Enquanto o Facebook é geralmente rápida para remover links maliciosos de mensagens e posts, é ainda não é rápido o suficiente prevenir a infecção 100%.
No entanto, há uma coisa que os usuários podem fazer para não infectar seus computadores têm suas contas de mídias sociais assumir e que é para não clicar em links estranhos, mesmo se eles são enviados por um amigo. Outra regra de ouro é não instalar extensões desconhecidas. Tem havido bastante campanhas semelhantes de malware para os usuários a entender que eles não devem instalar extensões aleatórias só porque aparece uma solicitação de pop-up.