Facebook和Chrome使用者要注意了,最近有一款名叫FacexWorm的病毒,可以竊取密碼,竊取加密貨币,或者向Facebook使用者發送垃圾郵件。
趨勢科技研究人員于4月底發現這個新病毒,似乎與去年的另外兩起Facebook Messenger垃圾郵件活動有關,而一起發生在8月,另一起發生于2017年12月,後者傳播了Digmine病毒。
FacexWorm的工作方式與前兩次攻擊類似,不過增加了針對加密貨币的新功能。
FacexWorm如何傳播感染
感染途徑跟之前沒有變化,通常始于使用者通過Facebook Messenger收到的垃圾郵件。
點選該連結後使用者被重定向到一個仿冒的YouTube網頁,這個網頁會讓使用者安裝跟YouTube相關的Chrome擴充程式。
發送垃圾郵件
通過分析這個插件,趨勢科技發現它會向使用者的Chrome浏覽器添加代碼,以便從登入表單中竊取密碼。
不過竊取的行為在大部分網站裡都不會生效,一旦使用者通路Google,Coinhive或MyMonero時就會生效。收集的密碼會被發送到FacexWorm的伺服器。
将使用者重定向到假冒頁面
另外,FacexWorm擴充會自動将使用者重定向到假冒的支付頁面,要求使用者發送一小筆以太币以驗證其帳戶。
隻有當使用者嘗試通路與加密貨币相關的網站時才會發生重定向。該擴充内附一個清單,裡面有52個目标網站。此外,它還會顯示在網址中還包含“eth”,“ethereum”或“blockchain”等字詞的網站上。
這款擴充還會插入加密挖掘腳本,加載Coinhive浏覽器中的挖礦腳本。
竊取加密貨币
另外,這款插件還可以交換交易平台上的收件人資訊,交易平台包括Poloniex,HitBTC,Bitfinex,Ethfinex和Binance以及Blockchain.info等。
趨勢科技稱FacexWorm可以替代比特币(BTC),比特币黃金(BTG),比特币現金(BCH),破折号(DASH),ETH,以太坊(ETC),波紋(XRP),萊特币(LTC),Zcash ZEC)和Monero(XMR)交易,将接收者的位址轉換為FacexWorm惡意軟體建立者擁有的位址。
由于相關惡意行為很快被發現,導緻黑客并沒有獲利,通過公開資訊查詢,我們隻找到一筆價值2.49美元的交易。
最後一招:推廣連結
除了上面提到的幾點,FacexWorm還會把使用者重定向到推廣連結,這也是病毒獲利的一種方式之一。
重定向的功能影響的網站包括Binance,DigitalOcean,FreeBitco.in,FreeDoge.co.in和HashFlare等。
趨勢科技表示,他們很早就報告給了Google和Facebook,Chrome商店員工删除了擴充程式,而Facebook則禁止與垃圾郵件相關的域名,共同阻止了攻擊的擴散。
* 參考來源:BleepingComputer,本文作者Sphinx,轉載注明來自FreeBuf