Το Zero-day malware απειλεί να υποκλέψει τα Facebook διαπιστευτήρια

από Jake Doe - -

7 επεκτάσεις στο Google web store διαπιστώθηκε ότι είναι μολυσμένες με malware

Zero-day malware is threatening to steal Facebook users' credentials

Οι χρήστες του Facebook βρίσκονται για πολλοστή φορά αντιμέτωποι με την απειλή ενός malware. Αυτή την φορά, η νέα κακόβουλη καμπάνια που στοχοποιεί τη δημοφιλή πλατφόρμα κοινωνικής δικτύωσης εντοπίστηκε από την ομάδα διαδικτυακής ασφάλειας της Radware. Ο ιός, γνωστός και ως Nigelthorn, διεισδύει σε συστήματα υπολογιστών μέσω έξυπνα ανεπτυγμένων Facebook links. Το συγκεκριμένο malware έχει τη δυνατότητα, αλλά και τη τάση, να υποκλέπτει προσωπικά δεδομένα (όπως πχ. διαπιστευτήρια, βλ. credentials) και να εγκαθιστά κρυφά κι αυθαίρετα μία κακόβουλη επέκταση, η οποία, εκτός των άλλων, χρησιμοποιείται για αυθαίρετο mining κρυπτονομισμάτων εκμεταλλευόμενο τους πόρους του εκάστοτε συστήματος-στόχου. Πρόσφατα, ανακοινώθηκε ότι ο ιός έχει ήδη μολύνει πάνω από 100.000 χρήστες από τον Μάρτιο του 2018, όταν και πρωτο-εμφανίστηκε.

Για να υπερπηδήσουν την ανάλυση εγκυρότητας της Google (Google's validation analysis), οι hackers αντέγραψαν μια νόμιμη επέκταση και τη μόλυναν με κακόβουλο script έτσι ώστε το malware να μπορεί να ενεργοποιηθεί και να τρέχει στο παρασκήνιο χωρίς να γίνεται αντιληπτό από τον χρήστη-θύμα. Οι πλέον στοχοποιημένες επεκτάσεις είναι οι Nigelify, PwnerLike, και iHabno. Συνολικά, επτά apps έχουν εντοπιστεί ότι εμπεριέχουν τον κακόβουλο κώδικα του ιού Nigelthorn, έως τώρα τουλάχιστον. Ευτυχώς, η Google αφαίρεσε τα συγκεκριμένα apps εντός ωρών από τη στιγμή που εντοπίστηκε η συγκεκριμένη προβληματική κατάσταση.

Αξίζει να σημειωθεί πως οι Google Chrome χρήστες είναι οι μόνοι που στοχοποιήθηκαν, καθώς το συγκεκριμένο malware μόλυνε αποκλειστικά Chrome επεκτάσεις.

Ο τρόπος με τον οποίο λειτουργεί ο ιός Nigelthorn

Όπως ισχύει με τους περισσότερους Facebook ιούς, ο χρήστης-θύμα είτε λαμβάνει προσωπικό μήνυμα από άτομο που ανήκει στην λίστα με τους Facebook φίλους του ή ταγκάρεται σε κάποιο post που εμπεριέχει κακόβουλο σύνδεσμο. Μόλις ο χρήστης-θύμα το κλικάρει, ανακατευθύνεται σε ένα παραπλανητικό ιστότοπο, σχεδόν ίδιο με το YouTube, όπου του ζητείται να εγκαταστήσει ένα συγκεκριμένο app για να μπορέσει να δει το βίντεο.

Εάν ο χρήστης-θύμα κάνει το λάθος και ακολουθήσει τις οδηγίες, δλδ. να εγκαταστήσει το app, συνήθως πρόκειται για το Nigelify, το μολυσμένο app θα εξάγει και θα εγκαταστήσει στο σύστημα του υπολογιστή του τον κακόβουλο κώδικα, ο οποίος με τη σειρά του θα κατεβάσει/εγκαταστήσει κρυφά κι αυθαίρετα το malware. Κατόπιν, το JavaScript κατεβάζει αρχείο ρύθμισης παραμέτρων (βλ. configuration file) από τον C2 των hackers C2, το οποίο περιλαμβάνει σετ από plugins (crypto miner, YouTube click bait και έναν κώδικα που επιταχύνει την προώθηση και αναπαραγωγή κακόβουλου Facebook link).

Επιπρόσθετα, ο ιός Nigelthorn κατεβάζει ένα crypto-mining εργαλείο (το οποίο είναι διαθέσιμο και δημοσίως) για browser και ξεκινά την εξόρυξη δημοφιλών κρυπτονομισμάτων, όπως πχ. Monero, Bytecoin και Electroneum, εκμεταλλευόμενο τους πόρους του συστήματος-στόχου. Όπως μπορεί πολύ εύκολα να διαπιστωθεί, οι CPU πόροι σχεδόν 'στεγνώνουν', μιας και ο ιός δεσμεύει σχεδόν το 100% αυτών. Οι ειδικοί ερευνητές σε θέματα διαδικτυακής ασφάλειας ανακοίνωσαν πρόσφατα ότι οι κυβερνο-εγκληματίες κατάφεραν να εξορύξουν σχεδόν $1000 εντός μόλις έξι ημερών (κυρίως σε Monero).

Ακόμα, το malware αυτό έχει τη τάση να αυτο-προωθείται στο διαδίκτυο. Συλλέγει σχετικά προσωπικά δεδομένα του εκάστοτε χρήστη-θύματος, και με τη βοήθεια αυτών, καταφέρνει και εξαπλώνεται σε όλο το δίκτυο φίλων που έχει ο χρήστης-θύμα στο Facebook. Μόλις ο χρήστης-θύμα κάνει το λάθος και κλικάρει το κακόβουλο link, ο ιός στέλνει αυτόματα αντίγραφο ενημερωτικού μηνύματος σε τουλάχιστον έναν Facebook φίλο του, και πάει λέγοντας. Με αυτό το τρόπο, το malware κατάφερε να εξαπλωθεί, και φυσικά ακόμα το κάνει, με ταχύτητα αστραπής στο Facebook.

Τέλος, θα πρέπει να σημειωθεί ότι ο ιός έχει τη τάση να υποκλέπτει τα διαπιστευτήρια από τον Facebook λογαριασμό του χρήστη-θύματος, καθώς και cookie δεδομένα από το Instagram. Εάν ο χρήστης-θύμα κάνει το λάθος και εισάγει τα προσωπικά του διαπιστευτήρια, τα δεδομένα αυτά αποστέλλονται στον κακόβουλο  C2 που ελέγχεται από τους χάκερς.

Ο Facebook ιός δε θα σταματήσει να μολύνει χρήστες

Είναι ξεκάθαρο ότι οι Facebook ιοί δεν πρόκειται να εξαφανιστούν, καθώς χαίρουν υψηλής αποτελεσματικός και αποφέρουν μεγάλα ποσοστά κερδοφορίας, δλδ. αποτελούν πραγματικό δέλεαρ για τους απανταχού κυβερνο-εγκληματίες. Όσο οι απρόσεκτοι χρήστες, και μιλάμε για εκατομμύρια, συνεχίζουν να κλικάρουν ό,τι τους εμφανίζεται, τα malware αυτού του είδους θα συνεχίζουν να μολύνουν Facebook λογαριασμούς και συστήματα υπολογιστών. Όπως διαπιστώθηκε στις πρόσφατες κακόβουλες καμπάνιες από Stresspaint και FacexWorm, οι κυβερνο-εγκληματίες θα συνεχίζουν να βρίσκουν νέους ευφάνταστους τρόπους να υπερπηδούν τα διάφορα μέτρα διαδικτυακής ασφάλειας. Επομένως, οι χρήστες οφείλουν να είναι ιδιαιτέρως προσεκτικοί και καχύποπτοι όταν κλικάρουν links, ακόμα και αν αυτοί οι σύνδεσμοι εκ πρώτης όψεως φαίνονται αξιόπιστοι και νόμιμοι ή φαίνονται να έχουν σταλθεί από φίλους.

Σχετικά με συντάκτη

Jake Doe
Jake Doe

Η ζωή είναι πολύ μικρή για να την σπαταλάμε στην αντιμετώπιση ιώ&nu...

Επικοινώνησε με Jake Doe
Σχετικά με την εταιρεία Esolutions

Πηγή: https://www.2-spyware.com/zero-day-malware-is-threatening-to-steal-facebook-credentials

Διαβάστε σε άλλες γλώσσες


Αρχεία
Λογισμικό
Σύγκριση
Κάντε μας Like στο Facebook