零日 ( Zero-day) 恶意软件威胁着要窃取 Facebook 的凭证

Google 网络商店中的 7 个扩展程序被发现感染了恶意软件

Facebook 用户再次受到恶意软件的威胁。这次,Radware 安全团队 检测到了与这个社交网络相关的活动。这个被命名为 Nigelthorn 的病毒,通过 Facebook 里巧妙设计的链接进入系统。恶意软件会窃取个人数据(如凭证)并安装恶意扩展程序,这些扩展程序也用来在目标计算机上挖掘加密货币。据称,该病毒自 2018 年 3 月以来已经感染了超过 10 万名用户。

为了绕过 Google 的验证分析,黑客复制了一个合法的扩展,并在里头注入了恶意脚本,这是为了让恶意软件可以在不被发现的情况下执行,成为目标的扩展包括 Nigelify、PwnerLike 和 iHabno,至今总共发现了 7 个应用程序含有 Nigelthorn 恶意代码。幸运的是,Google 在恶意应用程序发布后几小时内就已经将它删除。

值得一提的是,Google Chrome 用户是唯一受到影响的人,因为恶意软件只被注入到 Chrome 的扩展程序中。

Nigelthorn 的操作方式

由于这种情况在 Facebook 病毒 中很常见,用户可能会收到来自他或她朋友列表中某个人的私人讯息,或者会在含有恶意链接的帖子中被标签。在点击链接后,用户会被引导到一个虚假的 YouTube 网站,要求他们安装特定的应用程序来播放视频。

如果用户继续,他们就会安装一个应用程序,通常是 Nigelify。在这个应用程序提取恶性代码后,计算机就会立即感染恶意软件。过后,JavaScript 就会从黑客的 C2(指令与控制伺服器)下载配置文件,其中包括一组插件(加密挖掘程序、YouTube 点击诱饵和一个会损坏 Facebook 链接复制的代码)。

此外,Nigelthorn 下载了一个浏览器的公开加密挖掘工具,并开始在受损机器上挖掘 Monero、Bytecoin 或 Electroneum。不必多说,计算机的 CPU 的性能由于被使用接近 100% 而下降。安全研究人员宣布,网络犯罪分子在六天以内(主要是 Monero)成功挖走了近 1000 美元。

恶意软件也启动了自我传播的循环。它收集了能够在用户网络上传播恶意软件的相关信息。一旦受害者点击恶意链接,它也会随机将该讯息的副本发送给联系列表中的朋友,恶意软件就是这样继续传播。

最后,病毒试图窃取受害者的 Facebook 帐户凭证,以及 Instagram 的 cookie 信息。如果用户输入他或她的凭证,那么这些信息将会被发送给恶意者的 C2。

Facebook 病毒不会停止感染用户

很明显,Facebook 病毒会继续存在,因为看起来它们非常成功地说服了用户点击恶意链接,然后用恶意软件感染他们的系统。从最近的 Stresspaint 和 FacexWorm 活动可以看出,网络犯罪分子将继续寻找绕过内置安全措施的不同方法。因此,用户在点击链接时应该非常谨慎,即使它们看起来合法或来自可信赖的朋友。

关于作者
Jake Doevan
Jake Doevan - 人生太短,无需把时间浪费在病毒上

联系 Jake Doevan
关于 Esolutions 公司

以其他语言阅读
文件
软件
比较