Facexworm针对加密货币用户并通过Facebook Messenger传播

社交网络可能是一个特权攻击矢量,可以快速传播恶意软件到一个巨大的受众,面部虫通过通过Facebook Messenger传播来定位加密货币。

社交网络可能是一个特权攻击矢量,可以迅速将恶意软件传播到巨大的受众。

在最后几个小时内,通过利用Facebook Messenger上的朋友发送的视频的显着有害的链接来传播新的威胁。

来自趋势科技的安全研究人员发现了一个恶意铬延伸,被称为 面部虫,这是通过Facebook Messenger和定位加密货币交易平台的用户来划分的,以窃取他们的帐户的凭据并运行加密货币挖掘脚本。

“我们的网络安全解决方案团队确定了我们命名的恶意镀铬扩展,我们命名为FounxWorm,它使用MISCellany来定位在受影响的浏览器上访问的加密货币交易平台并通过Facebook Messenger传播。” reads the 报告由趋势科技发布。

据专家介绍,4月下旬首次检测到面部杂迹,似乎与另外两个Facebook Messenger垃圾邮件活动相关联 发生2017年8月和2017年12月推出的第二个蔓延 挖掘 加密电脑矿工。

专家最近观察到了面部虫虫活动的尖峰,在几个国家/地区检测到恶意代码,包括 德国突尼斯日本台湾韩国, 和 西班牙.

Forexworm实现了多个功能,包括从网站窃取帐户凭据,如谷歌和加密货目,将受害者重定向到流氓加密货座,注入加密货币矿工,并将受害者重定向到攻击者’CRearloCurry相关推荐计划的推荐链接。

以下形象显示了面部虫的感染链:

FacexWorm通过Facebook Messenger的链接传播到受影响的Facebook帐户的朋友,将用户重定向到虚拟版本的视频流网站,包括YouTube。鼓励用户下载恶意Chrome扩展作为编解码器扩展以继续播放视频并授予所有扩展的权限以完成安装,使用此技巧恶意软件可以完全控制用户访问的任何网站。

目前,恶意延伸只有Chrome用户,当恶意软件检测到不同的浏览器时,它将用户重定向到广泛的广告。

“ForexWorm通过发送给Facebook Messenger的社会工程链接提供。链接重定向到假的YouTube页面,要求不知情的用户同意并安装编解码器扩展(FacexWorm),以便在页面上播放视频。然后,它将请求权限访问和更改已打开的网站上的数据。”继续报告。

一旦面向面部磁虫铬扩展被安装在受害者上’S PC,它从其命令和控制服务器下载更多模块以执行其他恶意活动。

“面部虫是正常镀铬延伸的克隆,但注射了包含其主要常规的短代码。它从C下载其他JavaScript代码&C服务器打开浏览器时,”继续报告。

“每次受害者打开一个新的网页时,Facexworm会查询它的C.&C服务器查找和检索另一个JavaScript代码(托管在GitHub存储库上),并在该网页上执行其行为。”

趋势科技详细详细说明了恶意软件的恶意行为,包括:

  • 窃取谷歌,缅甸和硬币的用户的帐户凭据。
  • 推着加密货币诈骗。 
  • 进行恶意网络加密货币挖掘。
  • 劫持加密货币相关交易。
  • 从加密货和相关的推荐计划中获得。

 

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请