FacexWorm: el malware que se extiende a través de Facebook - MegaServicios

Nuevo

martes, 29 de mayo de 2018

FacexWorm: el malware que se extiende a través de Facebook

FacexWorm: el malware que se extiende a través de Facebook

Descubierto por la empresa antivirus Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.
Esquema de funcionamiento de Facexworm. Obtenida de Hacker News.

la técnica de ataque que utilizó este virus fue por primera vez en agosto del año pasado a través de una extensión maliciosa, pero ya los investigadores pudieron descubrir que se anadieron unas nuevas capacidades y metodos de ataque este mes.
 
 Estas nuevas capacidades del virus incluyen el metodo para el robo de las credenciales de los sitios web, redireccionamiento de las victimas a estafas de criptomonedas o al enlace  hace referencia al programa del atacante relacionados con criptomonedas y poder inyectar mineros en las webs.
 
A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.



Instalación de la extensión fraudulenta. Obtenida de Hacker News.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.

Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.

Cómo funciona
Si el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.

Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
"FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador", explican los investigadores.

Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar atentos al hacer clic en enlaces y archivos proporcionados a través de la plataforma del sitio.

No hay comentarios:

Publicar un comentario