De Zero-day malware dreigt met het stelen van Facebook-inloggegevens
7 extensies in de Google-webwinkel zijn geïnfecteerd met malware
Facebook-gebruikers worden opnieuw bedreigd door malware. Deze keer werd een nieuwe campagne gerelateerd aan dit sociale netwerk gedetecteerd door het Radware-beveiligingsteam. Het virus, dat Nigelthorn werd genoemd, komt in Facebook-systemen via de slim ontworpen links. Malware is in staat om persoonlijke gegevens (zoals inloggegevens) te stelen en een kwaadaardige extensie te installeren die bovendien wordt gebruikt om cryptovaluta op de getargete machine te gaan delven. Er werd aangekondigd dat het virus sinds maart 2018 al meer dan 100.000 gebruikers heeft besmet.
Om de validatieanalyse van Google te omzeilen, kopieerden hackers een legitieme extensie en injecteerden deze met het schadelijke script, zodat malware kon worden uitgevoerd zonder te worden opgemerkt. De meeste gerichte uitbreidingen omvatten Nigelify, PwnerLike en iHabno. In totaal zijn zeven apps gevonden die een kwaadaardige code van Nigelthorn bevatten. Gelukkig heeft Google de schadelijke apps binnen enkele uren na publicatie verwijderd.
Het is de moeite waard om te vermelden dat gebruikers van Google Chrome de enige zijn die getroffen zijn omdat de malware alleen in Chrome-extensies is geïnjecteerd.
De manier waarop Nigelthorn werkt
Zoals gebruikelijk bij Facebook-virussen, ontvangt de gebruiker een privébericht van een persoon in zijn of haar vriendenlijst of wordt getagd in een bericht dat een kwaadaardige link bevat. Nadat ze erop geklikt hebben, worden gebruikers geleid naar een nep-YouTube-website die hen vraagt om de specifieke applicatie te installeren om de video af te spelen.
Als gebruikers doorgaan, installeren ze een app, meestal Nigelify, die de kwaadaardige code extraheert en de computer wordt daarna onmiddellijk geïnfecteerd met malware. Het JavaScript downloadt vervolgens een configuratiebestand van de C2 van hackers dat een set plug-ins bevat (crypto-delver, YouTube click bait en een code die de reproductie van Facebook-links compromitteert).
Bovendien downloadt Nigelthorn een openbaar beschikbare crypto-delvings-tool voor een browser en begint met het delven van Monero, Bytecoin of Electroneum op een gecompromitteerde machine. Het spreekt voor zich dat de CPU van de computer afneemt naarmate het gebruik naar bijna 100% springt. Beveiligingsonderzoekers hebben aangekondigd dat cybercriminelen in zes dagen tijd bijna $ 1000 hebben gemolken (meestal Monero).
Malware start ook de cyclus van zelf-verspreiding. Het verzamelt relevante informatie om malware over het gebruikersnetwerk te verspreiden. Zodra het slachtoffer op de schadelijke link klikt, wordt de kopie van het bericht ook naar een willekeurige persoon uit de vriendenlijst gestuurd. Op deze manier blijft de malware zich verspreiden.
Ten slotte probeert het virus inloggegevens van het Facebook-account van het slachtoffer te stelen, evenals cookie-informatie van Instagram. Als een gebruiker zijn of haar referenties invoert, wordt deze informatie verzonden naar de C2 van de criminelen.
Het Facebook-virus stopt niet met het infecteren van gebruikers
Het is duidelijk dat Facebook-virussen nergens heen gaan omdat ze zeer succesvol lijken in het overtuigen van gebruikers om op schadelijke links te klikken en ze vervolgens met malware te infecteren. Zoals blijkt uit de recente Stresspaint en FacexWorm -campagnes, zullen cybercriminelen doorgaan met het vinden van diverse manieren om ingebouwde beveiligingsmaatregelen te omzeilen. Daarom moeten gebruikers uiterst voorzichtig zijn wanneer ze op links klikken, zelfs als ze legitiem lijken of afkomstig zijn van een vertrouwde vriend.
Over de auteur
