Recentemente, os pesquisadores de segurança descobriram um novo Cryptojacking Bot (malware) que tem como alvo usuários em vários países simplesmente para infectá-los para entregar um minerador de criptomoeda Monero e uma extensão maliciosa do Chrome que simplesmente o ajuda a se propagar para novas vítimas via FB Messenger.
exposição
Cryptojacking Bot ‘Digimine’ se espalhando via FB Messenger
O gigante da rede social Facebook é conhecido por todos como uma das redes sociais mais populares do mundo. É por isso que quando há uma campanha de malware afeta muitos usuários. Hoje estamos diante de uma dessas novidades.
Essa nova variedade é chamada DigiMine e é um malware distribuído pelo Facebook Messenger. Esta é, como sabemos, a plataforma oficial de mensagens instantâneas do Facebook. Possui usuários em diferentes plataformas para computadores e dispositivos móveis.
DigiMine, a nova campanha de malware do Facebook
A DigiMine instala um minerador de criptomoeda Monero no equipamento da vítima. Também introduz uma extensão maliciosa do navegador Google Chrome. Isso ajuda a espalhar para mais vítimas.
Como sabemos, a mineração de criptomoedas é um dos tipos de malware que mais cresce nos últimos tempos. Os cibercriminosos usam os dispositivos dos usuários para minar essas moedas digitais que estão em alta. Isso afeta diretamente o desempenho desses dispositivos, além de reduzir a vida útil dos dispositivos devido ao superaquecimento.
Além disso, o fato de atacarem o Google Chrome e introduzirem uma extensão maliciosa neste navegador não é por acaso. É o mais utilizado nas diferentes plataformas. Eles têm um grande número de usuários lá para infectar.
Vídeo falso
As vítimas geralmente recebem um arquivo chamado video_xxxx.zip (onde xxxx é um número de quatro dígitos) que tenta se passar por um arquivo de vídeo. O arquivo oculta um arquivo .EXE e os usuários descuidados que executam esse arquivo serão infectados com o DigiMine.
Um pesquisador de segurança sul-coreano chamado c0nstant e especialistas da Trend Micro dizem que o servidor atualmente envia às vítimas um minerador Monero e uma extensão do Chrome. O DigiMiner também adiciona um mecanismo de início automático baseado no registro e, em seguida, instala o minerador Monero e a extensão do Chrome que acabou de receber.
Normalmente, as extensões do Chrome só podem ser carregadas da Chrome Web Store, o site oficial, mas, neste caso, os invasores estão instalando a extensão maliciosa usando um truque engenhoso que usa os parâmetros da linha de comando do aplicativo Chrome.
A função da extensão é acessar o perfil do Facebook Messenger do usuário e enviar mensagens privadas para todos os contatos da vítima. Esta mensagem contém um video_xxxx.zip semelhante.
O mecanismo de autopropagação usado por esta extensão do Chrome só funciona se o Chrome iniciar automaticamente a sessão do usuário em suas contas do Facebook. Se o usuário não tiver as credenciais do Facebook salvas no Chrome, a extensão não funcionará, pois ele não poderá acessar a interface do Facebook Messenger para enviar suas mensagens de spam.
Pesquisadores descobriram que os invasores usam arquivos EXE. Isso significa que apenas usuários do Windows são direcionados no momento, mas não usuários de Linux ou Mac. Aparentemente, a campanha foi primeiramente dirigida a usuários na Coreia do Sul, mas desde então se espalhou para outros países como Vietnã, Azerbaijão, Ucrânia, Filipinas, Tailândia e Venezuela.
Então, o que você acha desse novo malware? Basta compartilhar suas opiniões e pensamentos na seção de comentários abaixo.
0 Comments