Experten der Trend Micro Company haben eine neue Aktivität aufgezeichnet, bei der böswillige Akteure den Monero Cryptocurrency Miner namens Digmine vertrieben haben. Sie haben es viral über die Instant Messaging-Anwendung Facebook Messenger verbreitet. Die Kampagne richtet sich an Nutzer aus Ländern wie der Ukraine, Aserbaidschan, Vietnam, Südkorea, den Philippinen, Thailand und Venezuela.
„Wir haben einen neuen Cryptocurrency-Mining-Bot gefunden, der sich über Facebook Messenger verbreitet und den wir erstmals in Südkorea beobachtet haben. Wir haben diese Digmine nach dem Spitznamen benannt, auf den sie in einem Bericht über die jüngsten Vorfälle in Südkorea Bezug genommen hat. “ Trend Micro informiert.
Unsere Top Trading Bots
Bösartiger Bot
Die Malware wird als Videodatei mit dem Namen "video_xxxx.zip" getarnt, wobei xxxx eine beliebige Anzahl von Ziffern ist. Letzte Woche waren viele Benutzer von der Tatsache angezogen, dass solche Dateien in persönlichen Nachrichten zu ihnen kamen. Im Archiv befand sich eine böswillige Digmine.
Laut Experten betrifft Digmine nur die Desktop-Version von Facebook Messenger für den Chrome-Browser. Wenn die Datei in der mobilen Version des Messenger geöffnet wird, funktioniert der Virus nicht.
„Ein bekannter Modus für Cryptocurrency-Mining-Botnets, insbesondere für Digmine (das Monero abbaut), besteht darin, so lange wie möglich im System des Opfers zu bleiben. Es möchte auch so viele Maschinen wie möglich infizieren, da dies zu einer Erhöhung der Hashrate und möglicherweise zu einem höheren Einkommen von Cyberkriminellen führt “, erklärte das Unternehmen.
Infektionskreislauf
Digmine greift auf den Computer zu und greift auf den Server zu, von dem es den Cryptocurrency Miner und die Erweiterung für Chrome lädt und installiert. Dann wird der Autorun aktiviert. Während der Miner mit der Produktion von Kryptowährung beschäftigt ist, sendet die Erweiterung im Namen des Opfers Nachrichten mit dem Virus.
Die Methode funktioniert nur, wenn der Browser Anmeldeinformationen für die Autorisierung im Facebook-Konto behält. Andernfalls kann die Erweiterung nicht auf die Messenger-Oberfläche zugreifen und Spam versenden.
„Wenn der Benutzer sein Facebook-Konto standardmäßig automatisch angemeldet hat, kann die Browser-Erweiterung mit seinem Konto interagieren. Dazu wird zusätzlicher Code vom C & C-Server heruntergeladen. Die Interaktion von Digmine mit Facebook könnte in Zukunft mehr Funktionen erhalten, da mehr Code hinzugefügt werden kann “, erklärte das Unternehmen, das eine botbezogene Untersuchung durchführte.
Erweiterungen für Chrome können nur aus dem offiziellen Chrome Web Store-Verzeichnis heruntergeladen werden, aber die Angreifer haben diese Bedingung umgangen. Um eine böswillige Erweiterung zu installieren, verwenden sie einen Befehlszeilen-Download.
Inzwischen hat die Kampagne nur Benutzer von Windows betroffen. Trend Micro informierte Facebook über das Problem, und das Unternehmen hat die schädlichen Links in den Nachrichten bereits gelöscht. Experten sagen jedoch, dass dies das Problem nicht vollständig gelöst hat: Angreifer können die Methode zur Verbreitung der Malware ändern und eine neue Kampagne starten.
Wie kann man das verhindern?
Cryptocurrency Mining wird immer beliebter; Daher werden Angreifer vom Mining-Botnet-Geschäft immer mehr angezogen. Je mehr Opfer angegriffen werden, desto höher sind die Gewinne - dies ist ein traditionelles Dogma aller Cyberkriminellen. Es ist auch nicht unerwartet, dass sie beliebte Social-Media-Plattformen für die Verbreitung ihrer Malware verwenden.
Wenn Sie diese Art von Cyber-Bedrohungen verhindern möchten, befolgen Sie lediglich die goldenen Praktiken zum Schutz von Social-Media-Konten. Zunächst sollten Sie zweimal überlegen, bevor Sie etwas mitteilen, das verdächtig erscheint. Sie sollten auch beim Herunterladen von Dateien vorsichtig sein, selbst wenn Sie diese von Ihren Freunden erhalten haben. Zweitens sollten Sie sich nicht zurückgeforderter Nachrichten bewusst sein. Und drittens aktivieren Sie die Datenschutzeinstellungen Ihres Kontos.
In seiner offiziellen Erklärung behauptete Facebook: „Wir unterhalten eine Reihe automatisierter Systeme, um zu verhindern, dass schädliche Links und Dateien auf Facebook und in Messenger erscheinen. Wenn wir den Verdacht haben, dass Ihr Computer mit Malware infiziert ist, bieten wir Ihnen einen kostenlosen Antivirenscan von unseren vertrauenswürdigen Partnern an. Wir geben Tipps zur Sicherheit und Links zu diesen Scannern facebook.com/help. ”
Bildquelle: blog.trendmicro.com