Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Facebook gedistribueerde Trojaanse doelen Cryptocurrency

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 767

Chrome-uitbreidingLeestijd: 1 minuut

Gebruik je Facebook Messenger? Gebruik je Chrome op je desktop? Gebruik je ook Bitcoin en heb je een portemonnee? Zou je iets installeren dat zegt dat het een codec is om een ​​video te bekijken? Dan hoop ik dat je niet geraakt bent door FacexWorm.

FacexWorm is oorspronkelijk ontdekt in augustus 2017. Door een doelwit op Facebook te vragen op een link te klikken die naar een kwaadaardige website leidt, zouden ze worden blootgesteld aan oplichting met cryptocurrency. Vervolgens worden kwaadaardige cryptominingcodes in een webpagina geïnjecteerd en worden ze omgeleid naar het verwijzingsprogramma voor cryptocurrency van de cyberaanvaller. FacexWorm zou doorgaan met het kapen van cryptocurrency-webportefeuilles en handelsplatforms, waarbij het adres van het doelwit zou worden vervangen door de cyberaanvaller. Dus niet alleen zouden de CPU en het geheugen van het doelwit vastlopen door cryptocurrency voor iemand anders te minen, maar alle cryptocurrency-fondsen die het doelwit zou hebben, zouden worden gestolen en overgedragen aan de aanvaller. Het klinkt als een zeer winstgevend soort criminele activiteit.

Toen FacexWorm, een kwaadaardige Chrome-extensie, voor het eerst werd ontdekt, deed Google er alles aan om er vanaf te komen, inclusief het verwijderen uit de Chrome Web Store.

Nou, FacexWorm kwam terug met wraak. Het houdt zich bezig met dezelfde kwaadaardige activiteiten, maar misschien met enkele wijzigingen in zijn code om detectie te omzeilen.

De heropleving van FacexWorm in april 2018

Op 8 april ontdekten malware-onderzoekers dat FacexWorm opnieuw verscheen. De onderzoekers observeerden die dag aanzienlijke FacexWorm-activiteit, voornamelijk in Taiwan, Zuid-Korea, Spanje, Japan, Duitsland en Tunesië. Als een doelwit een kwaadaardige link op Facebook volgt, ontvangen de Facebook-vrienden van het doelwit ook het bericht van de cyberaanvaller en wordt een proces gestart dat uiteindelijk resulteert in het kapen van de cryptocurrency-portemonnee van het doelwit, en mogelijk wordt er geld gestolen dat naar de aanvaller wordt gestuurd .

Hoe FacexWorm werkt

Wanneer een doelwit wordt aangevallen, begint het allemaal met een bericht dat is verzonden door Facebook Messenger. De link in het bericht verwijst naar een YouTube-video. Dat klinkt onschuldig genoeg, want RICKROLL is onschadelijk. Maar in plaats van begroet te worden door de fascinerende blauwe ogen van Rick Astley uit de jaren 80, wordt de gebruiker gevraagd een codec te installeren om een ​​andere video te bekijken. Alle YouTube-video's via internet worden geleverd door HTML5 met de h.264-videocodec en WebM tegenwoordig, dus bijna alle webbrowsers van de afgelopen jaren zouden elke YouTube-video moeten kunnen afspelen zonder iets extra's te hoeven installeren. Hoe dan ook, zodra het doel wordt gevraagd om de nep-codec Trojan te installeren, wordt hen gevraagd de malware toestemming te geven om gegevens op de webpagina te wijzigen.

Na installatie begint FacexWorm te communiceren met de commando- en controleservers van de cyberaanvaller. Meer kwaadaardige code wordt door de commando- en controleservers naar het doel gestuurd en ze worden opnieuw doorgestuurd naar Facebook. FacexWorm zal proberen het Facebook OAuth-toegangstoken van het doelwit te verkrijgen. Als dat lukt, ontvangen de Facebook-vrienden van het doelwit ook hetzelfde kwaadaardige Facebook Messenger-bericht als ze zich online of inactief bevinden en desktop Chrome gebruiken. Als ze een andere webbrowser gebruiken, krijgen ze in plaats daarvan een soort advertentie omdat ze de Chrome-extensie FacexWorm niet kunnen installeren.

FacexWorm gaat door met het injecteren van kwaadaardige JavaScript-code die is verkregen van de commando- en controleservers van de cyberaanvaller, en meer kwaadaardige code zal in zoveel mogelijk van de webpagina's van het doel worden geïnjecteerd.

Deze kwaadaardige webbrowser-extensies die communiceren met commando- en controleservers houden zich doorgaans bezig met een overvloed aan schadelijke activiteiten. Dit is wat FacexWorm doet.

Een deel van het JavaScript dat de Trojan in webpagina's probeert te injecteren, is een cryptominer die is gebaseerd op een Coinhive-script maar met aanpassingen. 20% van het CPU-vermogen wordt gebruikt voor cryptomining op elke thread en de malware probeert vier threads uit te voeren. Dat is in totaal 80% van het CPU-vermogen voor cryptomining! Er zou een duidelijke significante afname in pc-prestaties moeten zijn, zelfs als het doel een uitstekende multicore-CPU heeft met veel cache en RAM.

De malware zoekt naar inloggegevens van Coinhive, MyMonero en Google. De eerste twee zijn gerelateerd aan cryptocurrency-portefeuilles en kunnen leiden tot gestolen geld, terwijl ongeautoriseerde toegang tot het Google-account het leven van een gebruiker verder kan verpesten door te knoeien met hun Gmail en een breed assortiment aan andere Google-services. Dergelijke gevonden inloggegevens worden naar de opdracht- en controleservers gestuurd.

Als de gebruiker een tabblad in Chrome opent voor een van FacexWorm's 52 gerichte cryptocurrency-handelsplatforms, of als de gebruiker trefwoorden invoert zoals "ethereum" of "blockchain", wordt de gebruiker doorverwezen naar een webpagina voor een cryptocurrency-zwendel. Ze zullen worden gevraagd om 0.5 tot 10 ether te sturen om 5 tot 100 ether te ontvangen. Natuurlijk bestaat er op die manier niet zoiets als gratis geld. Als het te mooi klinkt om waar te zijn, is het dat waarschijnlijk ook.

Als de gebruiker een webpagina voor een cryptocurrency-transactie opent, probeert FacexWorm zijn cryptocurrency-adres te verkrijgen en te vervangen door het adres van de cyberaanvaller. Op die manier stuurt de gebruiker onbedoeld geld naar de aanvaller. De beoogde cryptocurrencies omvatten Bitcoin, Bitcoin Gold, Bitcoin Cash, Litecoin, Ripple, Ethereum, Ethereum Classic, Dash, Zcash en Monero. Dus de meest populaire cryptocurrencies worden beïnvloed.

Als de gebruiker DigitalOcean, Binance, FreeDoge.co.in, FreeBitco.in of HashFlare probeert te bezoeken, zal Facexworm ze omleiden naar de verwijzingslink van de aanvaller voor de website. De aanvaller ontvangt geld voor elke succesvolle verwijzing.

De nasleep tot nu toe

Beveiligingsonderzoekers hebben tot nu toe slechts één gekaapte Bitcoin-transactie gevonden, voor ongeveer $ 2.49 USD. Dat moet een heel klein deel van een Bitcoin zijn, maar misschien zijn er veel gekaapte transacties die ze nog niet hebben gevonden.

De onderzoekers hebben Facebook en Google op de hoogte gebracht over de terugkeer van FacexWorm. De nieuwere versie van FacexWorm is verwijderd uit de Chrome Web Store en Facebook heeft enkele domeinen verbannen die verband houden met de schadelijke activiteiten van FacexWorm.

Ik denk dat FacexWorm een ​​goed voorbeeld is van hoe nieuwe web-malware enkele maanden later opnieuw kan worden gelanceerd nadat hij aanvankelijk was gestopt antivirus leveranciers en ontwikkelaars en online services zoals Facebook en Google. Dit soort cyberaanvallen houden grote technologiebedrijven scherp. Maar aangezien FacexWorm een ​​Trojaans paard is, moet er meer worden gedaan om gebruikers voor te lichten over het vermijden van social engineering.

TEST JE E-MAILBEVEILIGING KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART Bron: https://blog.comodo.com/comodo-news/facexworm-now-found-on-facebook/

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.