Se está extendiendo a través de Facebook un nuevo virus de minerÃa de criptomonedas

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 889 veces
FacexWorm redirige a las vÃctimas a estafas de criptomonedas
Si recibes un enlace para un vÃdeo, incluso si parece emocionante, enviado por alguien (o un amigo) en Facebook Messenger, simplemente no hagas clic en él sin pensarlo dos veces.
Investigadores de seguridad cibernética de Trend Micro están advirtiendo a los usuarios sobre una extensión maliciosa de Chrome que se está propagando a través de Facebook Messenger y apuntando a usuarios de plataformas de comercio de criptomonedas para robar las credenciales de sus cuentas.
Denominada FacexWorm, la técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores notaron que el malware reenvasó algunas nuevas capacidades maliciosas a principios de este mes.
Las nuevas capacidades incluyen robar credenciales de cuenta de sitios web, como sitios de Google y criptomonedas, redirigir a las vÃctimas a estafas de criptomonedas, inyectar mineros en la página web para minar criptomonedas y redirigir a las vÃctimas al enlace de referencia del atacante para programas de referencia relacionados con criptomonedas.
No es el primer malware que usa Facebook Messenger para propagarse como un gusano.
A fines del año pasado, los investigadores de Trend Micro descubrieron un robot de minerÃa de la criptomoneda Monero, denominado Digmine, que se propaga a través del Facebook Messenger y apunta a las computadoras con Windows, asà como a Google Chrome para la minerÃa de criptomonedas.
Al igual que Digmine, FacexWorm también funciona mediante el envÃo de enlaces de ingenierÃa social a través de Facebook Messenger a los amigos de una cuenta de Facebook afectada para redirigir a las vÃctimas a versiones falsas de populares sitios web de transmisión de vÃdeo, como YouTube.
Cabe señalar que la extensión FacexWorm solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en la computadora de la vÃctima, redirige al usuario a un anuncio de aspecto inofensivo.
¿Cómo funciona el malware FacexWorm?
Si el enlace malicioso de vÃdeo se abre con el navegador Chrome, FacexWorm redirecciona a la vÃctima a una página de YouTube falsa, donde se alienta al usuario a descargar una extensión maliciosa de Chrome como una extensión de códec para continuar reproduciendo el vÃdeo.
Una vez instalada, la extensión FacexWorm de Chrome descarga más módulos de su comando y servidor de control para realizar varias tareas maliciosas.
"FacexWorm es un clon de una extensión normal de Chrome, pero se le inyectó un código corto que contiene su rutina principal. Descarga el código JavaScript adicional del servidor de C&C cuando se abre el navegador", dijeron los investigadores.
"Cada vez que una vÃctima abre una nueva página web, FacexWorm consultará su servidor C&C para encontrar y recuperar otro código JavaScript (alojado en un repositorio de Github) y ejecutar sus comportamientos en esa página web".
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier sitio web que abra el usuario.
A continuación, hemos enumerado un breve resumen de lo que puede realizar el malware FacexWorm:
• Para propagarse aún más como un gusano, el malware solicita el token de acceso OAuth para la cuenta de Facebook de la vÃctima, con lo que obtiene automáticamente la lista de amigos de la vÃctima y también les envÃa ese vÃnculo falso de video de YouTube.
• Roba las credenciales de la cuenta del usuario para Google, MyMonero y Coinhive, cuando el malware detecta que la vÃctima ha abierto la página de inicio de sesión del sitio web objetivo.
• FacexWorm también inyecta cryptocurrency minera a las páginas web abiertas por la vÃctima, que utiliza la potencia de la CPU de la computadora vÃctima para extraer Cryptocurrency para los atacantes.
• FacexWorm incluso secuestra las transacciones relacionadas con la criptomoneda del usuario al ubicar la dirección ingresada por la vÃctima y reemplazarla por la que proporcionó el atacante.
• Cuando el malware detecta que el usuario ha accedido a una de las 52 plataformas de comercio de criptomonedas o ha escrito en la URL palabras clave como "blockchain", "eth-" o "ethereum", FacexWorm redireccionará a la vÃctima a una página web fraudulenta de criptomonedas para robarle monedas. Las plataformas especÃficas incluyen Poloniex, HitBTC, Bitfinex, Ethfinex y Binance, y la billetera Blockchain.info.
• Para evitar la detección o eliminación, la extensión FacexWorm cierra inmediatamente la pestaña abierta cuando detecta que el usuario está abriendo la página de administración de extensiones de Chrome.
• El atacante también obtiene un incentivo de referencia cada vez que una vÃctima registra una cuenta en Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in o HashFlare.
Hasta ahora los investigadores de Trend Micro han descubierto que FacexWorm ha comprometido al menos una transacción de Bitcoin (valorada en $ 2.49) hasta el 19 de abril, pero no saben cuánto han ganado los atacantes de la minerÃa web maliciosa.
Las criptomonedas dirigidas por FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), y Monero (XMR).
El malware FacexWorm se ha encontrado emergiendo en Alemania, Túnez, Japón, Taiwán, Corea del Sur y España. Pero dado que Facebook Messenger se usa en todo el mundo, hay más posibilidades de que el malware se extienda a nivel mundial.
Chrome Web Store habÃa eliminado muchas de las extensiones maliciosas antes de que lo notificaran los investigadores de Trend Micro, pero los atacantes continúan subiéndolas a la tienda.
Facebook Messenger también puede detectar los enlaces maliciosos socialmente diseñados y bloquear regularmente el comportamiento de propagación de las cuentas de Facebook afectadas, dijeron los investigadores.
Dado que las campañas de Facebook Spam son bastante comunes, se aconseja a los usuarios estar atentos al hacer clic en los enlaces y archivos proporcionados a través de la plataforma del sitio de redes sociales.
ArtÃculos relacionados (por etiqueta)
- Se busca a dos ciberdelincuentes rusos que han robado 100 millones de dólares
- Extensiones de navegador Avast y AVG espian a usuarios de Chrome y Firefox
- Nueva herramienta de Facebook permite a los usuarios transferir sus fotos y vÃdeos a Google
- ¿Está Facebook accediendo secretamente a la cámara de tu iPhone?
- Facebook revela nuevo incidente de fuga de datos que afecta a miembros de grupos
- Nuevo error Zero-Day de Chrome atrae ataques activos: ¡actualiza tu navegador ahora!
Lo último de Jesús Cáceres
- Se busca a dos ciberdelincuentes rusos que han robado 100 millones de dólares
- Extensiones de navegador Avast y AVG espian a usuarios de Chrome y Firefox
- Strandhogg: Vulnerabilidad no parcheada de Android explotada activamente en la naturaleza
- Nueva herramienta de Facebook permite a los usuarios transferir sus fotos y vÃdeos a Google
- Mueve tus feeds de FeedBurner heredados a una cuenta de Google
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta