Se vi ricevas video-dosieron pakitan en zip-arkivo ĉe via Facebook-mesaĝisto, simple ne alklaku ĝin. Esploristoj de sekureca firmao Trend Micro malkovris novan kriptovalutan minindustrian boton disvastiĝantan per Facebook Messenger kaj celantaj Google Chrome-labortablajn uzantojn.
Dubita Digmine, la minindustria robotprogramo Monero-kripta monero kaŝvestiĝas kiel ne-enigita video-dosiero, sub la nomo video_xxxx.zip, sed efektive estas efektivigebla skripto de AutoIt, kiu infektas viktimojn, kiuj provas funkciigi ĝin.
Laŭ la esploristoj, kvankam Facebook Messenger funkcias tra malsamaj platformoj, Digmine nur influas la skribtablan / retumilan (Chrome) version de Facebook Messenger. Se la dosiero estas malfermita sur aliaj platformoj (ekz. Poŝtelefono), la malware ne funkcios laŭ la intenco.
Se la Facebook-konto de la uzanto estas aŭtomate ensalutinta, Digmine manipulos Facebook Messenger por sendi ligon 'video-dosieron' al la amika listo de la posedanto de konto. Post kiam vi alklakis tiun ligon, la malbon-varo infektas la komputilon de viktimo kaj elŝutas ĝiajn komponentojn kaj rilatajn agordajn dosierojn de fora komand-kaj-kontrola servilo.
Digimine ĉefe instalas kriptovalutan ministon, t.e. miner.exe - modifitan version de malfermfonta Monero-ministo konata kiel XMRig, kiu silente minas la Moneron. Potenco de U de la infektitaj komputiloj.
Krom la ministo pri kripta monero, Digimine-bot ankaŭ instalas registran aŭtomatan ekmekanismon kaj sisteman infektan markilon, kiu serĉos kaj lanĉos Chrome per malica retumila etendaĵo, kiu permesas al atakantoj aliri la Facebook-profilon de la viktimoj kaj disvastigi la saman malware-dosieron al la listo de siaj amikoj. per Mesaĝilo. Se Chrome jam funkcias, la malware finiĝos kaj relanĉos Chrome por certigi ke la etendaĵo estas ŝarĝita.
"Dum etendaĵoj nur povas esti ŝarĝitaj kaj gastigitaj de la Chrome Reta Butiko, la atakantoj preterpasis tion lanĉante Chrome (ŝarĝitan kun la malica etendaĵo) per komandlinio," diras la blogaĵo.
La aldonaĵo ankaŭ legos sian propran agordon de la servilo C&C kaj instruos la aldonaĵon aŭ daŭrigi ensalutadon en Facebook aŭ malfermi falsan paĝon, kiu reproduktos filmeton.
“La trompa retejo, kiu ludas la filmeton, ankaŭ funkcias kiel parto de ilia C&C-strukturo. Ĉi tiu retejo ŝajnigas esti video-flua retejo, sed ankaŭ enhavas multajn agordojn por la eroj de la malware. "
Unue ekvidita en Sud-Koreio, la kripta robo estis disvastigita tra Azerbajĝano, Filipinoj, Tajlando, Ukrainio, Venezuelo kaj Vjetnamujo, montrante sian eblon disiĝi aliloke.
Post kiam Trend Micro sciigis ĉi tiun aferon al Facebook, la socia amaskomunikila giganto senprokraste forigis multajn el la ligoj rilataj al Digmine de sia platformo. En la oficiala deklaro de Facebook, "Ni konservas kelkajn aŭtomatigitajn sistemojn por helpi malhelpi malutilajn ligojn kaj dosierojn aperi en Facebook kaj en Messenger. Se ni suspektas, ke via komputilo estas infektita de malware, ni provizos al vi senpagan antivirusan esploradon de niaj fidindaj partneroj. "
Ligiloj asociitaj kun Digmine estis forigitaj de Facebook, sed ĝi ne malhelpas retpiratojn manipuli la ekzistantajn ligojn por daŭre predi Facebook-uzantojn. Krome, ĉar la ministo estas kontrolita de servilo C&C, la atakantoj malantaŭ Digiminer povas ĝisdatigi sian malware por aldoni malsamajn funkciojn dum la nokto.
"Konata modus operandi de kriptovalut-minadaj botnetoj, kaj precipe por Digmine, devas resti en la sistemo de la viktimo kiel eble plej longe. Ĝi ankaŭ volas infekti tiom multe da maŝinoj kiel eble, ĉar tio tradukiĝas al pliigita haŝrato kaj eble pli da ciberkrimaj enspezoj ", notis la blogaĵo.
La lastatempa kresko de kripta monero prezigas, ke investantoj uzas maletikajn metodojn por provi kapitaligi ĝin. Do uzantoj konsilas esti atentaj kiam ili alklakas suspektajn ligojn kaj dosierojn provizitajn per la sociaj retejoj aŭ aliaj platformoj.
