在Facebook上发现了一种新的恶意软件,它不仅窃取账户信息,还会安装用于秘密加密货币挖掘的脚本。
网络安全公司Radware周四在一篇博客文章中表示,Nigelthorn是一项针对Facebook社交网络的新活动。
这款恶意软件之所以如此命名,是因为它滥用了一个名为“Nigelify”的合法谷歌Chrome扩展。该扩展将网页上显示的图片替换为电视剧《野刺》(The Wild Thornberrys)中的卡通人物奈杰尔•索恩伯里(Nigel Thornberry)的图片。
Nigelthorn于今年5月被发现,迄今为止已经感染了100多个国家的10万多名Facebook用户。
据Radware的研究人员称,Nigelthorn运动通过社交工程和私人信息在社交网络上传播,旨在欺骗用户下载恶意软件,以劫持账户、密码破解和点击欺诈。
潜在的受害者将看到来自他们网络连接的消息,这些消息将在帖子中标记他们,或者将收到包含恶意链接或图片的私有消息。
如果受害者点击,恶意链接会将受害者重定向到一个虚假的YouTube页面,该页面要求用户安装一个谷歌Chrome扩展来播放视频内容。
为了绕过谷歌的验证检查,负责的威胁参与者创建合法扩展的副本,并在其中注入简短、模糊的恶意脚本。
一旦用户接受“添加扩展”请求,就会安装恶意扩展并将受害者的系统添加到僵尸网络。
这些恶意扩展还会将受害者重定向到Facebook,以生成会话令牌,并劫持他们的在线会话,以便吸收他们的Facebook帐户凭据,并将其发送到命令与控制(C&C)服务器。
这种访问也允许恶意软件发送消息代替他们和传播进一步。
如果被发现,Nigelthorn还能窃取Instagram上的饼干。
一旦恶意扩展安装在谷歌Chrome浏览器上,恶意JavaScript就会开始发挥作用。脚本从C&C服务器下载,并进一步安装加密工具。
该工具迫使受害者的机器秘密地挖掘加密货币,其中的收益被发送到攻击者控制的矿池。
Radware说,在过去几天里,Monero、Bytecoin和Electroneum是采矿目标,袭击者已经赚了大约1000美元。
Nigelthorn使用了许多技术,以保持对受害者的机器持久性。如果受害者试图打开extensions选项卡,恶意软件会自动关闭它。该恶意软件还阻止用户下载Facebook和Chrome清理工具、删除Facebook帖子和发表评论。
虽然Nigelify的恶意拷贝是大多数感染的原因,但研究人员还发现了其他被滥用的合法扩展,包括PwnerLike和iHabno。
其他四个扩展被谷歌的安全系统检测到,并在不到24小时内被移除。
大多数感染发生在菲律宾、委内瑞拉和厄瓜多尔。
参见:SynAck勒索软件通过二重身技术绕过杀毒软件
研究人员说:“恶意软件依赖于Chrome,并在Windows和Linux上运行。”“需要强调的是,此次活动的重点是Chrome浏览器,Radware相信不使用Chrome的用户不会有风险。”
一名谷歌的发言人告诉Threatpost网站说:“我们在收到警报后几小时内,从Chrome网络商店和少数受影响用户的浏览器中删除了恶意扩展程序。”