惡意擴展瞄準加密貨幣交易平台濫用Facebook Messenger進行傳播

最新 05-03

「用指尖改變世界」

Facebook、Chrome和加密貨幣用戶最近應該注意一款名為「FacexWorm」的Chrome擴展，這個惡意擴展正在通過Facebook Messenger傳播，其目的是竊取網站登錄憑證、竊取加密貨幣資金、運行加密礦工腳本以及發送垃圾郵件給受影響Facebook用戶的好友。

趨勢科技的研究人員於4月底發現了這個惡意Chrome擴展，它似乎與另外兩起Facebook Messenger垃圾郵件活動有關，其中一起發生於2017年8月，另一起發生於2017年12月，後者傳播了Digmine惡意軟體。

研究人員表示，在這起新的活動中，用於傳播FacexWorm的方式與前兩起活動類似，但增加了針對加密貨幣用戶的新技術。

感染鏈保持不變，通常開始於通過Facebook Messenger發送的帶有社交工程鏈接的垃圾郵件。點擊該鏈接會將用戶重定向到一個虛假的YouTube網頁，該頁面的目的在於誘騙不知情的用戶同意並安裝一個編解碼器擴展（即FacexWorm），以便能夠在頁面上播放視頻內容。

在安裝完成之後，FacexWorm將從其命令與控制（C＆C）伺服器下載其他更多的惡意代碼，並打開Facebook的網站。一旦擴展程序檢測到Facebook已經打開，它將再次與其C＆C伺服器通信以檢查傳播功能是否啟用。

如果啟用，FacexWorm將向Facebook請求OAuth訪問令牌。然後，它會對Facebook進行一系列查詢，以獲取該帳戶的好友列表，並將虛假YouTube視頻鏈接再次發送給處於在線或閑置狀態的聯繫人。

趨勢科技表示，他們在對FacexWorm的分析過程中發現了大量的惡意功能。擴展會向用戶的Chrome瀏覽器中添加大量的惡意代碼，以便從登錄表單中竊取登錄憑證。

值得注意的是，此竊取行為並非會在用戶打開任意網站時活躍，而是只有在用戶訪問Google、Coinhive或MyMonero這三個特定網站中的任意一個時才會生效。被竊取的憑證最終將會發送到由FacexWorm團伙控制的命令與控制（C＆C）伺服器。

當FacexWorm檢測到用戶正在訪問其定位的52個加密貨幣交易平台中的任何一個，或者在網頁中鍵入諸如「blockchain（區塊鏈）」、「eth-」或「ethereum（以太坊）」等關鍵詞時，它會將用戶重定向到一個用於實施騙局的網頁。

該騙局會誘使用戶發送0.5-10枚以太幣（ETH）到攻擊者持有的錢包地址進行驗證，並承諾將返回5-100枚以太幣。

值得慶幸的是，用戶可以通過簡單地關閉頁面並重新打開該頁面以恢復對原始網站的正常訪問來減輕這種影響。另外，趨勢科技表示，他們到目前為止並沒有發現有人因此受騙。

根據趨勢科技的描述，FacexWorm還會向受害者打開的網頁注入一個JavaScript加密貨幣礦工腳本，一個連接到Coinhive採礦池的自定義Coinhive腳本。

根據腳本的設置，該礦工被配置為每個線程佔用受影響系統20%的CPU資源，而FacexWorm會打開四個線程在網頁上進行加密貨幣挖掘。

一旦用戶打開任何一個與加密貨幣交易相關的網站頁面，FacexWorm都將識別由用戶輸入的地址，並將其替換為由攻擊者指定的地址。

FacexWorm所針對的目標包括加密貨幣交易平台Poloniex、HitBTC、Bitfinex、Ethfinex和Binance以及加密貨幣錢包Blockchain.info；所針對的加密貨幣類型包括比特幣（BTC）、比特幣黃金（BTG）、比特幣現金（BCH）、達世幣（DASH）、以太坊（ETH）、以太幣（ETC）、波紋幣（XRP）、萊特幣（LTC），Zcash幣（ZEC）和門羅幣（XMR）。

趨勢科技稱，由於研究人員很早就發現並報告了該擴展，因此攻擊者並未從該方案中獲取到太多利潤。截至到4月19日，與此活動相關的加密電子貨幣地址僅記錄了一筆價值2.49美元的交易。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！