Parece que un nuevo malware de minería de cifrado ha infectado a Facebook de nuevo, pero esta vez el gusano es más complejo y sofisticado.
“Nuestro equipo de Cyber ??Safety Solutions identificó una extensión maliciosa de Chrome que llamamos FacexWorm, que utiliza una mezcla de técnicas para apuntar a las plataformas de comercio de criptomoneda a las que se accede desde un navegador afectado y se propaga a través de Facebook Messenger”, explicó Trend Micro.
Al igual que Dubmine, que causó caos en Messenger el año pasado, FacexWorm se propaga por una extensión maliciosa de Chrome que envía enlaces a todas las personas en la lista de víctimas. Sin embargo, este nuevo malware lo lleva a otro nivel y muestra una página de YouTube falsa muy convincente que le pide dicha extensión.
Posteriormente, las computadoras infectadas serán enviadas a los enlaces de referencia del hacker o estafa en una plataforma de criptomoneda en lugar de las páginas válidas a las que las víctimas intentaron acceder. El virus también intenta robar cualquier información de cuenta para los sitios de criptomoneda y Google.
Y como en la mayoría de los paquetes de malware, este también extrae criptomonedas para el pirata informático mediante el uso de los recursos informáticos de la víctima. Pero FacexWorm no inyecta el script de minería de Monero habitual de Coinhive. En cambio, usa una versión ofuscada del código, que infecta todos los sitios web que visita la víctima.
Para aquellos que están preocupados por infectarse, Chrome eliminó la extensión, dejando a los piratas informáticos con casi nada, ya que aparentemente solo lograron infectar a un pequeño número de computadoras.
FacexWorm: el malware que se extiende a través de FacebookDescubierto por Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.
Esquema de funcionamiento de Facexworm. Obtenida de Hacker News.La técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades a principios de este mes.
Estas novedades incluyen el robo de credenciales de sitios web, redirigir a las víctimas a estafas de criptomonedas y/o al enlace de referencia del atacante en programas relacionados con criptomonedas e inyectar mineros en las webs.
A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.
Instalación de la extensión fraudulenta. Obtenida de Hacker News.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.
Cómo funcionaSi el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.
Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
"FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador", explican los investigadores.
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).