Un nouveau virus minier Cryptocurrency se propage à travers Facebook

Si vous recevez un lien pour une vidéo, même si cela semble excitant, envoyé par quelqu’un (ou votre ami) sur Facebook Messenger - il suffit de cliquer dessus sans y réfléchir.
Les chercheurs en cybersécurité de Trend Micro avertissent les utilisateurs d’une extension Chrome malveillante qui se propage via Facebook Messenger et qui cible les utilisateurs de plates-formes de négociation de crypto-monnaie pour voler les informations d’identification de leurs comptes.
Surnommé FacexWorm , la technique d’attaque utilisée par l’extension malveillante est apparue pour la première fois en août de l’année dernière, mais les chercheurs ont remarqué que le logiciel malveillant a réemballé quelques nouvelles fonctionnalités malveillantes plus tôt ce mois-ci.

Les nouvelles fonctionnalités incluent le vol d’informations de sites, comme Google et les sites de cryptomonnaie, la redirection des victimes vers des escroqueries cryptographiques, l’injection de mineurs sur la page Web pour l’extraction de cryptomonnaie et la redirection des victimes vers le lien de référence.
Ce n’est pas le premier malware à abuser de Facebook Messenger pour se répandre comme un ver.
À la fin de l’année dernière, les chercheurs de Trend Micro ont découvert un robot d’extraction Monero-cryptocurrency, baptisé Digmine , qui se propage via Facebook Messenger et cible les ordinateurs Windows, ainsi que Google Chrome pour l’extraction de crypto-monnaie.

Tout comme Digmine, FacexWorm fonctionne également en envoyant des liens socialement conçus sur Facebook Messenger aux amis d’un compte Facebook affecté pour rediriger les victimes vers de fausses versions de sites de streaming vidéo populaires, comme YouTube.
Il est à noter que l’extension FacexWorm a uniquement été conçue pour cibler les utilisateurs de Chrome. Si le logiciel malveillant détecte un autre navigateur Web sur l’ordinateur de la victime, il redirige l’utilisateur vers une publicité anodine.

Comment fonctionne le logiciel malveillant FacexWorm

Si le lien vidéo malveillant est ouvert à l’aide du navigateur Chrome, FacexWorm redirige la victime vers une fausse page YouTube, dans laquelle l’utilisateur est invité à télécharger une extension Chrome malveillante en tant qu’extension de codec pour continuer à lire la vidéo.

Une fois installée, l’extension Chrome de FacexWorm télécharge plus de modules à partir de son serveur de commande et de contrôle pour effectuer diverses tâches malveillantes.
"FacexWorm est un clone d’une extension Chrome normale mais injecté avec du code court contenant sa routine principale.Il télécharge du code JavaScript supplémentaire à partir du serveur C & C lorsque le navigateur est ouvert", ont déclaré les chercheurs .
Chaque fois qu’une victime ouvre une nouvelle page Web, FacexWorm interroge son serveur C & C pour trouver et récupérer un autre code JavaScript (hébergé sur un référentiel Github) et exécuter ses comportements sur cette page Web. "
Étant donné que l’extension prend toutes les autorisations étendues au moment de l’installation, le logiciel malveillant peut accéder ou modifier les données de tous les sites Web ouverts par l’utilisateur.
Ci-dessous, j’ai énuméré un bref aperçu de ce que les logiciels malveillants FacexWorm peuvent effectuer :

  • Pour se répandre comme un ver, le logiciel malveillant demande un jeton d’accès OAuth au compte Facebook de la victime, en utilisant ensuite automatiquement la liste d’amis de la victime et en lui envoyant ce faux lien vidéo malveillant.
  • Volez les informations d’identification du compte de l’utilisateur pour Google, MyMonero et Coinhive, lorsque le logiciel malveillant détecte que la victime a ouvert la page de connexion du site Web cible.
  • FacexWorm injecte également un mineur de cryptocurrency aux pages Web ouvertes par la victime, qui utilise la puissance du processeur de l’ordinateur victime pour extraire Crypto-monnaie pour les attaquants.
  • FacexWorm détourne même les transactions liées à la crypto-monnaie de l’utilisateur en localisant l’adresse saisie par la victime et en la remplaçant par celle fournie par l’attaquant.
  • Lorsque le malware détecte que l’utilisateur a accédé à l’une des 52 plates-formes de négociation cryptomonnaie ou à des mots clés tels que "blockchain", "eth-" ou "ethereum" dans l’URL, FacexWorm redirigera la victime vers une page d’escroquerie de crypto-monnaie pièces de monnaie. Les plates-formes ciblées comprennent Poloniex, HitBTC, Bitfinex, Ethfinex et Binance, ainsi que le portefeuille Blockchain.info.
  • Pour éviter la détection ou la suppression, l’extension FacexWorm ferme immédiatement l’onglet ouvert lorsqu’elle détecte que l’utilisateur ouvre la page de gestion des extensions Chrome.
  • L’attaquant reçoit également une incitation de référence chaque fois qu’une victime enregistre un compte sur Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in ou HashFlare.

Jusqu’à présent, les chercheurs de Trend Micro ont découvert que FacexWorm a compromis au moins une transaction Bitcoin (évaluée à 2,49 $) jusqu’au 19 avril, mais ils ne savent pas combien les attaquants ont gagné grâce à l’exploration Web malveillante.
Les cryptocurrences ciblées par FacexWorm incluent Bitcoin (BTC), Bitcoin Gold (BTG), Cash Bitcoin (BCH), Tiret (DASH), ETH, Ethereum Classique (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), et Monero (XMR).
Le logiciel malveillant FacexWorm a été découvert en Allemagne, en Tunisie, au Japon, à Taiwan, en Corée du Sud et en Espagne. Mais puisque Facebook Messenger est utilisé dans le monde entier, il y a plus de chances que le malware soit diffusé dans le monde entier.
Chrome Web Store a supprimé de nombreuses extensions malveillantes avant d’être averti par les chercheurs de Trend Micro, mais les pirates continuent de les télécharger sur le magasin.
Facebook Messenger peut également détecter les liens malveillants, socialement conçus et bloquer régulièrement le comportement de propagation des comptes Facebook concernés, selon les chercheurs.
Les campagnes Facebook Spam étant assez courantes, il est conseillé aux utilisateurs d’être vigilants lorsqu’ils cliquent sur les liens et les fichiers fournis via la plate-forme de sites de médias sociaux.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image