Вирус майнинга в Facebook

Если вы получили видео файл (упакованный сжатый в zip архив) отправленный кем-то на ваш facebook месенджер - просто не кликайте на него.



Исследователи из Trend Micro компании по кибербезопасности, предупреждают пользователей о новом майнинг боте криптовалюты cryptocurrency, который распространяется через Facebook месенджер и нацелен на Google Chrome пользователей на рабочем столе, чтобы воспользоваться ситуацией на рынке криптовалюты и всплеском цен.


Дублированный Digmine, майнинг бот криптовалюты Monero маскируется как не встроенный видеофайл под именем video_xxxx.zip (как показано на скриншоте ниже), но на самом деле содержит исполняемый скрипт AutoIt.
После «клика» вредоносная программа заражает компьютер жертвы и загружает свои компоненты и связанные с ними файлы конфигурации с удаленного сервера управления (C & C).



Digimine в первую очередь устанавливает майнер криптовалюты, например Miner.exe - модифицированную версию майнера Monero с открытым исходным кодом, известный как XMRig, - который тихо майнит криптовалюту Monero в скрытом режиме для хакеров, использующих мощность процессора зараженных компьютеров.

Помимо майнера криптовалюты, бот Digimine, также устанавливает механизм автозапуска и запускает Chrome с помощью вредоносного расширения, которое позволяет злоумышленникам получить доступ к профилю жертвы на Facebook и распространять один и тот же вредоносный файл друзьям из списка через месенджер.

Поскольку расширения Chrome можно установить только через официальный Интернет-магазин Chrome, «злоумышленники обошли это, запустив Chrome (загруженный вредоносным расширением) через командную строку».

«Расширение будет читать свою собственную конфигурацию с сервера управления. Он может дать указание продлить либо продолжить вход в систему Facebook, либо открыть поддельную страницу, на которой будет воспроизводиться видео», - сообщают исследователи Trend Micro.

«Сайт приманка, который воспроизводит видео, также служит частью структуры сервера управления. Этот сайт притворяется сайтом стриминг видео, но также содержит множество конфигураций компонентов вредоносного ПО».

Примечательно, что пользователи, открывающие вредоносный видеофайл через приложение Messenger на своих мобильных устройствах, не пострадали.

Поскольку майнер контролируется через сервер управления, то авторы Digiminer могут обновить свою вредоносную программу, чтобы добавить различные функции за одну ночь.

Digmine был впервые замечен, когда заражал пользователей в Южной Корее, и с тех пор распространил свою деятельность на Вьетнам, Азербайджан, Украину, Филиппины, Таиланд и Венесуэлу. Но поскольку Facebook Messenger используется во всем мире, все больше шансов, что бот будет распространяться по всему миру.

Когда они были уведомлены исследователями, Facebook сообщил, что он удалил большинство вредоносных файлов с сайта социальной сети.

Акции спама в Facebook довольно распространены. Поэтому пользователям рекомендуется проявлять бдительность при нажатии на ссылки и файлы, предоставляемые через платформу сайта социальных сетей

Последние записи в журнале