Вредонос, получивший название Digmine, распространяется через Facebook Messenger и нацелен заразить как можно больше машин, чтобы майнить на них криптовалюту. Его жертвами уже стали пользователи Windows из Южной Кореи, Вьетнама, Азербайджана, Украины, Филиппин, Таиланда и Венесуэлы.

Digmine маскируется под видеофайл с именем video_xxxx.zip, где xxxx — четырехзначное число, но на самом деле содержит исполняемый скрипт AutoIt. При открытии архива и попытке запуска «видео» AutoIt связывается с удаленным управляющим сервером и загружает для установки XMRig (майнер Monero) и вредоносное расширение для десктопного Chrome. Зараженный компьютер не только начинает зарабатывать криптовалюту для мошенников, но и дает им возможность через браузер получить доступ к профилю жертв и разослать вредоносный файл списку друзей.

Обычно расширения для Chrome загружаются только из официального магазина, но в данном случае злоумышленники обходят это ограничение, запуская зараженный браузер через командную строку.

«Расширение будет считывать собственную конфигурацию с командного сервера. Ему будет велено либо продолжить вход в систему Facebook, либо открыть страницу-приманку, на которой воспроизводится видео. Этот поддельный сайт также является частью C&C-структуры. Маскируясь под стриминговую платформу, он на самом деле содержит множество настроек для вредоносных компонентов», — поясняют исследователи Ленарт Бермехо (Lenart Bermejo) и Сяо-Ю Шин (Hsiao-Yu Shih), обнаружившие Digmine.

Вредоносный бот опасен только для десктопных версий. Если файл открывать на других платформах, заражения не происходит. Также, если учетные данные пользователя соцсети не сохранены в браузере Chrome, расширение не сможет связаться с интерфейсом мессенджера для отправки сообщений.

После того как ИБ-специалисты предупредили об опасности разработчиков Facebook, большинство зараженных ссылок были удалены из IM-сообщений. Однако, как отметило издание Bleeping Computer, хакеры могут легко изменить каналы распространения и продолжить кампанию, а также добавить вредоносному ПО дополнительные функции.

Специалисты Facebook обещают предоставить бесплатную антивирусную проверку всем пользователям, которые заподозрят, что их компьютер заражен. Социальная сеть постоянно отслеживает возникающие угрозы и вносит дополнения в настройки безопасности. Так, 20 декабря появился новый инструмент, с помощью которого пользователь может просмотреть список последних сообщений, отправленных по электронной почте от имени соцсети. Это позволяет распознать фишинговые письма и предотвратить кражу данных или заражение вредоносным ПО.

Категории: Аналитика, Вредоносные программы