يحذر باحثو الأمن السيبراني من تريند مايكرو مستخدمي ملحقات Chrome الخبيثة التي تنتشر عبر Facebook Messenger وتستهدف مستخدمي منصات تداول cryptocurrency لسرقة بيانات اعتماد حساباتهم.
وقد ظهرت تقنية الهجوم المسماة "FacexWorm" ، وهي تقنية الهجوم المستخدمة في التمديد الخبيث لأول مرة في أغسطس من العام الماضي ، لكن الباحثين لاحظوا أن البرمجيات الخبيثة أعادت تجميع بعض القدرات الخبيثة الجديدة في وقت سابق من هذا الشهر.
تشمل الإمكانات الجديدة سرقة بيانات اعتماد الحساب من مواقع الويب ، مثل Google ومواقع cryptocurrency ، وإعادة توجيه الضحايا إلى عمليات الخداع cryptocurrency ، وحقن عمال المناجم على صفحة الويب للتعريف بالمعاملات المشفرة ، وإعادة توجيه الضحايا إلى رابط الإحالة الخاص بالمهاجم لبرامج الإحالة ذات الصلة بالتشفير.
ليس أول برنامج خبيث يسيء استخدام Facebook Messenger لنشر نفسه مثل الدودة.
في أواخر العام الماضي ، اكتشف باحثو تريند مايكرو برنامج تعدين من نوع "مونيرو-كريبتوكمنت" ، يُطلق عليه اسم " ديجمين" ، والذي ينتشر من خلال برنامج "فيس بوك" ، ويستهدف أجهزة الكمبيوتر التي تعمل بنظام ويندوز ، بالإضافة إلى جوجل كروم للتعدين.
تشمل الإمكانات الجديدة سرقة بيانات اعتماد الحساب من مواقع الويب ، مثل Google ومواقع cryptocurrency ، وإعادة توجيه الضحايا إلى عمليات الخداع cryptocurrency ، وحقن عمال المناجم على صفحة الويب للتعريف بالمعاملات المشفرة ، وإعادة توجيه الضحايا إلى رابط الإحالة الخاص بالمهاجم لبرامج الإحالة ذات الصلة بالتشفير.
ليس أول برنامج خبيث يسيء استخدام Facebook Messenger لنشر نفسه مثل الدودة.
في أواخر العام الماضي ، اكتشف باحثو تريند مايكرو برنامج تعدين من نوع "مونيرو-كريبتوكمنت" ، يُطلق عليه اسم " ديجمين" ، والذي ينتشر من خلال برنامج "فيس بوك" ، ويستهدف أجهزة الكمبيوتر التي تعمل بنظام ويندوز ، بالإضافة إلى جوجل كروم للتعدين.
تجدر الإشارة إلى أن ملحق FacexWorm مصمم فقط لاستهداف مستخدمي Chrome. إذا اكتشفت البرمجيات الضارة أي متصفح ويب آخر على كمبيوتر الضحية ، فإنها تعيد توجيه المستخدم إلى إعلان غير ضار.
كيف يعمل برنامج FacexWorm Malware؟
إذا تم فتح رابط الفيديو الضار باستخدام متصفح Chrome ، فسيقوم FacexWorm بإعادة توجيه الضحية إلى صفحة مزيفة في YouTube ، حيث يتم تشجيع المستخدم على تنزيل إضافة Chrome ضارة كإضافة codec لمتابعة تشغيل الفيديو.
وبمجرد تثبيته ، يقوم ملحق FacexWorm Chrome بتنزيل المزيد من الوحدات من خادم التحكم والتحكم الخاص به لتنفيذ مهام خبيثة متعددة.
الباحثون "FacexWorm هو استنساخ لتمديد كروم طبيعي ولكن حقن مع رمز قصيرة تحتوي على روتين الرئيسي. يقوم بتحميل شفرة جافا سكريبت إضافي من خادم C & C عند فتح المتصفح،" قال .
"في كل مرة يقوم فيها أحد الضحايا بفتح صفحة ويب جديدة ، سيقوم FacexWorm بالبحث عن خادم C & C للعثور على شفرة JavaScript أخرى واستردادها (مستضافًا في مستودع Github) وتنفيذ سلوكياته على صفحة الويب هذه."نظرًا لأن الإضافة تأخذ جميع الأذونات الموسعة في وقت التثبيت ، يمكن للبرامج الضارة الوصول إلى البيانات أو تعديلها لأي مواقع ويب يفتحها المستخدم.
فيما يلي سرد موجز مختصر لما يمكن أن تقوم به البرامج الضارة لـ FacexWorm:
- لنشر نفسه بشكل أكبر مثل الدودة ، تطلب البرامج الضارة الرمز المميز للوصول إلى OAuth لحساب Facebook الخاص بالضحية ، باستخدامه يحصل تلقائيًا بعد ذلك على قائمة أصدقاء الضحية ويرسل إليه رابط فيديو يوتيوب خبيث مزيف.
- سرقة بيانات اعتماد حساب المستخدم لـ Google و MyMonero و Coinhive ، عندما تكتشف البرامج الضارة أن الضحية فتحت صفحة تسجيل الدخول إلى الموقع المستهدف.
- FacexWorm أيضا حقن عامل التعمية cryptocurrency لصفحات الويب التي فتحتها الضحية ، والتي تستخدم قوة وحدة المعالجة المركزية للكمبيوتر الضحية لإزالة Cryptocurrency للمهاجمين.
- FacexWorm حتى خطف المعاملات المتعلقة بالمستخدمين cryptocurrency عن طريق تحديد عنوان مؤتمن في الضحية واستبدالها مع تلك التي قدمها المهاجم.
- عندما تكتشف البرمجيات الخبيثة قام المستخدم بالوصول إلى واحدة من 52 منصة تداول cryptocurrency أو كلمات رئيسية مكتوبة مثل "blockchain" أو "eth-،" أو "ethereum" في عنوان URL ، فسوف يقوم FacexWorm بإعادة توجيه الضحية إلى صفحة ويب احتيال كريدية لسرقة المستخدم الرقمي عملات معدنية. وتشمل المنصات المستهدفة Poloniex و HitBTC و Bitfinex و Ethfinex و Binance والمحفظة Blockchain.info.
- لتجنب الكشف أو الإزالة ، تقوم إضافة FacexWorm فورًا بإغلاق علامة التبويب المفتوحة عند اكتشاف أن المستخدم يقوم بفتح صفحة إدارة إضافات Chrome.
- يحصل المهاجم أيضًا على حافز إحالة في كل مرة يسجل فيها الضحية حسابًا على Binance أو DigitalOcean أو FreeBitco.in أو FreeDoge.co.in أو HashFlare.
تشمل Cryptocurrencies التي تستهدفها FacexWorm Bitcoin (BTC) ، Bitcoin Gold (BTG) ، Bitcoin Cash (BCH) ، Dash (DASH) ، ETH ، Ethereum Classic (ETC) ، Ripple (XRP) ، Litecoin (LTC) ، Zcash (ZEC) ، ومونيرو (XMR).
تم العثور على البرمجيات الخبيثة FacexWorm في ألمانيا وتونس واليابان وتايوان وكوريا الجنوبية وإسبانيا. ولكن نظرًا لاستخدام Facebook Messenger في جميع أنحاء العالم ، فهناك المزيد من فرص انتشار البرامج الضارة على مستوى العالم.
أزال Chrome Web Store العديد من الإضافات الضارة قبل أن يتم إخطاره من قبل باحثي Trend Micro ، لكن المهاجمين يواصلون تحميله مرة أخرى إلى المتجر.
ويقول الباحثون إن فيسبوك ماسنجر يمكنه أيضًا اكتشاف الروابط الخبيثة التي تمت هندستها اجتماعياً ومنع سلوك انتشار حسابات Facebook المتأثرة بشكل منتظم.
نظرًا لأن حملات Facebook Spam شائعة جدًا ، يُنصح المستخدمون باليقظة عند النقر على الروابط والملفات التي يتم تقديمها عبر نظام موقع الشبكات الاجتماعية.