Malware Zero-day prijeti krađom podataka s Facebooka

7 ekstenzija u Google trgovini inficirane su malware programima

Korisnici Facebooka još jednom su pod prijetnjom malwarea. Ovaj puta novu kampanju povezanu s ovom društvenom mrežom detektirao je Radware sigurnosni tim. Virus naziva Nigelthornulazi u sistem putem pametno kreiranog linka na Facebooku. Malware je sposoban ukrasti osobne podatke (npr. ime i prezime) i instalirati malicioznu ekstenziju koja se dodatno koristi za rudarenje kriptovalute na napadnutom računalu. Objavljeno je da je virus, od ožujka 2018., već zarazio više od 100.000 korisnika.

Da bi zaobišli Googleovu analizu validacije, hakeri su kopirali legitimnu ekstenziju i u nju ubacili malicioznu skriptu, pa se tako malware može neprimjetno pokrenuti. Među najčešće ekstenzije ubrajaju se Nigelify, PwnerLike i iHabno. Sve ukupno, pronađeno je sedam aplikacija koje sadrže maliciozni kod Nigelthorn. Srećom, Google je uklonio zlonamjerne aplikacije samo nekoliko sati nakon objave.

Također vrijedi spomenuti da su ovime napadnuti samo korisnici Google Chromea jer je sam malware ubačen isključivo u njegove ekstenzije.

Kako funkcionira Nigelthorn

Kao što je uobičajeno za Facebook viruse, korisnik ili prima privatnu poruku od osobe s njegove liste prijatelja ili je označen u objavi koja sadrži maliciozni link. Nakon što se klikne na njega, korisnik se šalje na lažnu YouTube stranicu gdje se od njega traži da instalira određenu aplikaciju da bi mogao prikazivati/gledati video.

Ako korisnik nastavi, aplikacija će se instalirati, obično je to Nigelify, to ekstrahira maligni kod, a računalo je instantno zaraženo malwareom. JavaScript nakon toga preuzima konfiguracijsku datoteku od hakerovog C2, a to uključuje niz plug-inova (crypto miner, click bait na YouTube i kod koji kompromitira reprodukciju linka na Facebook).

Uz sve to, Nigelthorn preuzima i javno dostupan alat za rudarenje kriptovaluta putem preglednika i počinje s rudarenjem Monera, Bytecoina ili Electroneuma na kompromitiranoj mašini. Ne treba posebno naglašavati da se efikasnost CPU-a smanjuje dok njegova upotreba skače na gotovo 100%. Stručnjaci za sigurnost objavili su da su cyberkriminalci uspjeli rudarenjem doći do gotovo 1000 dolara u samo šest dana (većinom se radi o valuti Monero).

Malware također započinje ciklus širenja. On će prikupiti relevantne informacije da bi sam sebe mogao proširiti pomoću mreže napadnutog korisnika. Čim žrtva klikne na maliciozni link, on će također poslati kopiju poruke nasumično odabranim osobama s liste prijatelja. Tako se ovaj malware nastavlja širiti internetom.

Na kraju, virus pokušava ukrasti žrtvine podatke iz Facebook računa, kao i informacije iz kolačića za Instagram. Ako korisnik upiše svoje podatke, te informacije šalju se u C2.

Facebook virus neće prestati s infekcijom korisnika

Evidentno je da Facebook virusi neće nestati sve dok se čini da su veoma uspješni u nagovaranju korisnika da kliknu na maliciozni link i tako njihove sisteme zaraze malware programom. Kao što se može vidjeti iz nedavnih Stresspaint i FacexWorm kampanja, cyberkriminalci će nastaviti u pronalaženju najrazličitijih načina da se zaobiđu već ugrađene sigurnosne mjere. Iz toga zaključujemo, korisnici bi trebali biti iznimno oprezni kad klikaju na bilo kakve linkove, čak i ako se oni čine legitimnima i dolaze od bliskog prijatelja.