V poslední době objevili bezpečnostní vědci nový Cryptojacking Bot (malware), který je zacílen na uživatele v několika zemích jednoduše na nakažte je, aby dodali minerální kryptoměnu Monero a škodlivé rozšíření Chrome, které mu jednoduše pomůže šířit se na nové oběti prostřednictvím FB Posel.
Sociální gigant Facebook je známý jako jedna z nejpopulárnějších sociálních sítí na světě. To je důvod, proč když existuje kampaň proti malwaru, ovlivní to mnoho uživatelů. Dnes čelíme jedné z těchto novinek.
Tato nová odrůda se nazývá DigiMine a jedná se o malware, který je distribuován prostřednictvím služby Facebook Messenger. Toto je, jak víme, oficiální platforma pro rychlé zasílání zpráv na Facebooku. Má uživatele na různých platformách pro počítače i mobilní zařízení.
DigiMine nainstaluje do zařízení oběti těžaře kryptoměn Monero. Také zavádí škodlivé rozšíření prohlížeče Google Chrome. To pomáhá rozšířit se na další oběti.
Jak víme, těžba kryptoměn je jedním z typů malwaru, který se v poslední době nejvíce zvyšuje. Kyberzločinci využívají zařízení uživatelů k podkopávání těchto digitálních měn, které jsou na vzestupu. To přímo ovlivňuje výkon těchto zařízení a také snižuje životnost zařízení v důsledku přehřátí.
Navíc skutečnost, že útočí na Google Chrome a v tomto prohlížeči zavádějí škodlivé rozšíření, není náhoda. Je nejpoužívanější na různých platformách. Mají tam velký počet uživatelů k infikování.
Oběti obvykle obdrží soubor s názvem video_xxxx.zip (kde xxxx je čtyřciferné číslo), který se pokusí vydat video soubor. Soubor skryje soubor .EXE a neopatrní uživatelé, kteří tento soubor spustí, budou infikováni programem DigiMine.
Jihokorejský bezpečnostní pracovník c0nstant a odborníci z Trend Micro tvrdí, že server v současné době zasílá obětem Monero miner a rozšíření Chrome. DigiMiner také přidává automatický spouštěcí mechanismus založený na registru a poté nainstaluje Monero miner a rozšíření Chrome, které právě obdržel.
Za normálních okolností lze rozšíření pro Chrome načíst pouze z oficiálního webu Chrome Web Store, ale v tomto případě útočníků instalují škodlivou příponu pomocí důmyslného triku, který využívá parametry příkazového řádku prohlížeče Chrome aplikace.
Funkce rozšíření je přístup k profilu uživatele Facebook Messenger a odesílání soukromých zpráv všem kontaktům oběti. Tato zpráva obsahuje podobný soubor video_xxxx.zip.
Mechanismus samovolného šíření používaný tímto rozšířením pro Chrome funguje pouze v případě, že Chrome automaticky zahájí relaci uživatele na svých účtech na Facebooku. Pokud uživatel nemá v Chromu uložená pověření Facebooku, rozšíření nebude fungovat, protože nebude moci přejít na rozhraní Facebook Messenger a odesílat své spamové zprávy.
Vědci zjistili, že útočníci používají soubory EXE. To znamená, že aktuálně jsou cíleni pouze uživatelé systému Windows, ale nikoli uživatelé systému Linux nebo Mac. Kampaň byla zjevně poprvé určena uživatelům v Jižní Koreji, ale od té doby se rozšířila do dalších zemí, jako je Vietnam, Ázerbájdžán, Ukrajina, Filipíny, Thajsko a Venezuela.
Co si tedy myslíte o tomto novém malwaru? Jednoduše sdílejte své názory a myšlenky v sekci komentářů níže.