零日 ( Zero-day) 恶意软件威胁着要窃取 Facebook 的凭证

Google 网络商店中的 7 个扩展程序被发现感染了恶意软件

Facebook 用户再次受到恶意软件的威胁。这次，Radware 安全团队 检测到了与这个社交网络相关的活动。这个被命名为 Nigelthorn 的病毒，通过 Facebook 里巧妙设计的链接进入系统。恶意软件会窃取个人数据（如凭证）并安装恶意扩展程序，这些扩展程序也用来在目标计算机上挖掘加密货币。据称，该病毒自 2018 年 3 月以来已经感染了超过 10 万名用户。

为了绕过 Google 的验证分析，黑客复制了一个合法的扩展，并在里头注入了恶意脚本，这是为了让恶意软件可以在不被发现的情况下执行，成为目标的扩展包括 Nigelify、PwnerLike 和 iHabno，至今总共发现了 7 个应用程序含有 Nigelthorn 恶意代码。幸运的是，Google 在恶意应用程序发布后几小时内就已经将它删除。

值得一提的是，Google Chrome 用户是唯一受到影响的人，因为恶意软件只被注入到 Chrome 的扩展程序中。

Nigelthorn 的操作方式

由于这种情况在 Facebook 病毒 中很常见，用户可能会收到来自他或她朋友列表中某个人的私人讯息，或者会在含有恶意链接的帖子中被标签。在点击链接后，用户会被引导到一个虚假的 YouTube 网站，要求他们安装特定的应用程序来播放视频。

如果用户继续，他们就会安装一个应用程序，通常是 Nigelify。在这个应用程序提取恶性代码后，计算机就会立即感染恶意软件。过后，JavaScript 就会从黑客的 C2（指令与控制伺服器）下载配置文件，其中包括一组插件（加密挖掘程序、YouTube 点击诱饵和一个会损坏 Facebook 链接复制的代码）。

此外，Nigelthorn 下载了一个浏览器的公开加密挖掘工具，并开始在受损机器上挖掘 Monero、Bytecoin 或 Electroneum。不必多说，计算机的 CPU 的性能由于被使用接近 100% 而下降。安全研究人员宣布，网络犯罪分子在六天以内（主要是 Monero）成功挖走了近 1000 美元。

恶意软件也启动了自我传播的循环。它收集了能够在用户网络上传播恶意软件的相关信息。一旦受害者点击恶意链接，它也会随机将该讯息的副本发送给联系列表中的朋友，恶意软件就是这样继续传播。

最后，病毒试图窃取受害者的 Facebook 帐户凭证，以及 Instagram 的 cookie 信息。如果用户输入他或她的凭证，那么这些信息将会被发送给恶意者的 C2。

Facebook 病毒不会停止感染用户

很明显，Facebook 病毒会继续存在，因为看起来它们非常成功地说服了用户点击恶意链接，然后用恶意软件感染他们的系统。从最近的 Stresspaint 和 FacexWorm 活动可以看出，网络犯罪分子将继续寻找绕过内置安全措施的不同方法。因此，用户在点击链接时应该非常谨慎，即使它们看起来合法或来自可信赖的朋友。