Zero-day malware truer med at stjæle Facebook legitimationsoplysninger

7 udvidelser på Google webshop er fundet inficeret med malware

Facebook-brugere er endnu engang truet af malware. Denne gang blev der opdaget en ny kampagne relateret til dette sociale netværk af Radware Security Team. Virussen, der blev kaldt Nigelthorn, går ind i systemer via de klogt konstruerede links på Facebook. Malware er i stand til at stjæle personlige data (f.eks. Legitimationsoplysninger) og installere en ondsindet udvidelse, som desuden bruges til at grave efter kryptocurrency på den målrettede maskine. Det blev meddelt, at virussen siden marts 2018 allerede har inficeret over 100.000 brugere.

For at omgå Googles valideringsanalyse kopierede hackerne en legitim udvidelse og injicerede den med det ondsindede script, så malwaren kunne køres, uden at blive bemærket. De fleste målrettede udvidelser omfatter Nigelify, PwnerLike og iHabno. I alt har syv apps vist sig at indeholde den skadelige kode Nigelthorn. Heldigvis fjernede Google de ondsindede apps inden for få timer efter offentliggørelsen.

Det er værd at nævne, at Google Chrome-brugere er de eneste, der blev påvirket, da malwaren kun blev injiceret i Chrome's udvidelser.

Måden Nigelthorn virker

Som det er fælles for Facebook virusser modtager brugeren enten en privat besked fra en person i hans eller hendes venneliste eller bliver tagget i et indlæg, der indeholder et ondsindet link. Efter at have klikket på det, ledes brugerne til en falsk YouTube side, der beder dem om at installere den specifikke applikation for at afspille videoen.

Hvis brugerne fortsætter, installerer de en app, typisk Nigelify, som uddrager den ondartede kode, og computeren bliver øjeblikkeligt inficeret med malware. JavaScript downloader derefter en konfigurationsfil fra hackernes C2, der indeholder et sæt plugins (krypto miner, YouTube click bait og en kode som kompromitterer Facebook link reproduktion).

Derudover downloader Nigelthorn et offentligt tilgængeligt krypto-mining værktøj til browseren og begynder at grave efter Monero, Bytecoin eller Electroneum på den kompromitterede maskine. Det siger sig selv, at computerens CPU falder, da brugen springer til næsten 100%. Sikkerhedsresearchere meddelte, at cyberkriminelle har formået at grave næsten $1000 i over seks dage (for det meste Monero).

Malwaren starter også cyklusen med selvudbredelse. Den indsamler relevante oplysninger for at kunne sprede malwaren hos brugerens netværk. Så snart offeret klikker på det ondsindede link, sender den også kopien af beskeden til en tilfældig person fra vennelisten. På denne måde fortsætter malwaren med at sprede sig rundt.

Endelig forsøger virussen at stjæle legitimationsoplysninger fra offerets Facebook-konto, samt cookieoplysninger fra Instagram. Hvis en bruger indtaster hans eller hendes legitimationsoplysninger, sendes disse oplysninger til utroværdige aktørers C2.

Facebook virussen vil ikke stoppe med at inficere brugere

Det er tydeligt, at Facebook virusser ikke er på vej ud, da de synes at være meget succesfulde med at overbevise brugere om at klikke på ondsindede links, og derefter inficere deres systemer med malware. Som det fremgår af de seneste Stresspaint og FacexWorm kampagner, vil cyberkriminelle fortsætte med at finde forskellige måder at omgå indbyggede sikkerhedsforanstaltninger på. Derfor bør brugerne være yderst forsigtige, når de klikker på links, selvom de forekommer legitime eller kommer fra en betroet ven.