FacexWorm通过Facebook Messenger和恶意Chrome扩展传播

2018-05-03 161179人围观 ,发现 1 个不明物体 资讯

FacexWorm.png

Facebook和Chrome用户要注意了,最近有一款名叫FacexWorm的病毒,可以窃取密码,窃取加密货币,或者向Facebook用户发送垃圾邮件。

趋势科技研究人员于4月底发现这个新病毒,似乎与去年的另外两起Facebook Messenger垃圾邮件活动有关,而一起发生在8月,另一起发生于2017年12月,后者传播了Digmine病毒。

FacexWorm的工作方式与前两次攻击类似,不过增加了针对加密货币的新功能。

FacexWorm如何传播感染

感染途径跟之前没有变化,通常始于用户通过Facebook Messenger收到的垃圾邮件。

点击该链接后用户被重定向到一个仿冒的YouTube网页,这个网页会让用户安装跟YouTube相关的Chrome扩展程序。

FacexWorm-spam.png

发送垃圾邮件

通过分析这个插件,趋势科技发现它会向用户的Chrome浏览器添加代码,以便从登录表单中窃取密码。

不过窃取的行为在大部分网站里都不会生效,一旦用户访问Google,Coinhive或MyMonero时就会生效。收集的密码会被发送到FacexWorm的服务器。

将用户重定向到假冒页面

另外,FacexWorm扩展会自动将用户重定向到假冒的支付页面,要求用户发送一小笔以太币以验证其帐户。

FacexWorm-scam.png

只有当用户尝试访问与加密货币相关的网站时才会发生重定向。该扩展内附一个列表,里面有52个目标网站。此外,它还会显示在网址中还包含“eth”,“ethereum”或“blockchain”等字词的网站上。

这款扩展还会插入加密挖掘脚本,加载Coinhive浏览器中的挖矿脚本。

窃取加密货币

另外,这款插件还可以交换交易平台上的收件人信息,交易平台包括Poloniex,HitBTC,Bitfinex,Ethfinex和Binance以及Blockchain.info等。

趋势科技称FacexWorm可以替代比特币(BTC),比特币黄金(BTG),比特币现金(BCH),破折号(DASH),ETH,以太坊(ETC),波纹(XRP),莱特币(LTC),Zcash ZEC)和Monero(XMR)交易,将接收者的地址转换为FacexWorm恶意软件创建者拥有的地址。

由于相关恶意行为很快被发现,导致黑客并没有获利,通过公开信息查询,我们只找到一笔价值2.49美元的交易。

最后一招:推广链接

除了上面提到的几点,FacexWorm还会把用户重定向到推广链接,这也是病毒获利的一种方式之一。

重定向的功能影响的网站包括Binance,DigitalOcean,FreeBitco.in,FreeDoge.co.in和HashFlare等。

趋势科技表示,他们很早就报告给了Google和Facebook,Chrome商店员工删除了扩展程序,而Facebook则禁止与垃圾邮件相关的域名,共同阻止了攻击的扩散。

* 参考来源:BleepingComputer,本文作者Sphinx,转载注明来自FreeBuf

相关推荐
发表评论

已有 1 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php