FacexWorm通過Facebook Messenger和Chrome擴展傳播
Facebook和Chrome用戶要注意了,最近有一款名叫FacexWorm的病毒,可以竊取密碼,竊取加密貨幣,或者向Facebook用戶發送垃圾郵件。
趨勢科技研究人員於4月底發現這個新病毒,似乎與去年的另外兩起Facebook Messenger垃圾郵件活動有關,而一起發生在8月,另一起發生於2017年12月,後者傳播了Digmine病毒。
FacexWorm的工作方式與前兩次攻擊類似,不過增加了針對加密貨幣的新功能。
FacexWorm如何傳播感染
感染途徑跟之前沒有變化,通常始於用戶通過Facebook Messenger收到的垃圾郵件。
點擊該鏈接後用戶被重定向到一個仿冒的YouTube網頁,這個網頁會讓用戶安裝跟YouTube相關的Chrome擴展程序。
發送垃圾郵件
通過分析這個插件,趨勢科技發現它會向用戶的Chrome瀏覽器添加代碼,以便從登錄表單中竊取密碼。
不過竊取的行為在大部分網站里都不會生效,一旦用戶訪問Google,Coinhive或MyMonero時就會生效。收集的密碼會被發送到FacexWorm的伺服器。
將用戶重定向到假冒頁面
另外,FacexWorm擴展會自動將用戶重定向到假冒的支付頁面,要求用戶發送一小筆以太幣以驗證其帳戶。
只有當用戶嘗試訪問與加密貨幣相關的網站時才會發生重定向。該擴展內附一個列表,裡面有52個目標網站。此外,它還會顯示在網址中還包含「eth」,「ethereum」或「blockchain」等字詞的網站上。
這款擴展還會插入加密挖掘腳本,載入Coinhive瀏覽器中的挖礦腳本。
竊取加密貨幣
另外,這款插件還可以交換交易平台上的收件人信息,交易平台包括Poloniex,HitBTC,Bitfinex,Ethfinex和Binance以及Blockchain.info等。
趨勢科技稱FacexWorm可以替代比特幣(BTC),比特幣黃金(BTG),比特幣現金(BCH),破折號(DASH),ETH,以太坊(ETC),波紋(XRP),萊特幣(LTC),Zcash ZEC)和Monero(XMR)交易,將接收者的地址轉換為FacexWorm惡意軟體創建者擁有的地址。
由於相關惡意行為很快被發現,導致黑客並沒有獲利,通過公開信息查詢,我們只找到一筆價值2.49美元的交易。
最後一招:推廣鏈接
除了上面提到的幾點,FacexWorm還會把用戶重定向到推廣鏈接,這也是病毒獲利的一種方式之一。
趨勢科技表示,他們很早就報告給了Google和Facebook,Chrome商店員工刪除了擴展程序,而Facebook則禁止與垃圾郵件相關的域名,共同阻止了攻擊的擴散。
* 參考來源:BleepingComputer,本文作者Sphinx,轉載註明來自FreeBuf
※醫療機構頻遭黑客攻擊,2018年還將面臨五大安全威脅
※兩小時捲走13000美金!MyEtherWallet DNS劫持事件深度分析
TAG:FreeBuf |