Um vírus que sequestra dispositivos de usuários e os usa para minerar criptomoedas está se espalhando rapidamente pelo Facebook. Pesquisadores de
segurança cibernética da Trend Micro estão alertando os usuários sobre
uma extensão maliciosa do Chrome que está direcionando os usuários de plataformas de comércio de criptomoedas para roubar as credenciais de suas contas.
Apelidado de
FacexWorm, a técnica de ataque usada pela extensão maliciosa surgiu pela
primeira vez em agosto do ano passado, mas os pesquisadores notaram que
o malware foi recompilado com alguns recursos novos no início deste
mês.
Os novos
recursos incluem o roubo de credenciais de sites, como os da Google, redirecionamento para sites fraudulentos e mineradores. Não é o primeiro malware a usar o Facebook Messenger para se espalhar como um worm. No ano passado,
pesquisadores da Trend Micro descobriram um bot de mineração de
criptomoedas Monero, apelidado de Digmine, que se espalhava através do
Facebook Messenger e tinha como alvo os sistemas operacionais Windows.
Assim como o
Digmine, o FacexWorm também envia links
projetados para o Facebook Messenger a fim de redirecionar as vítimas para versões falsas de
sites populares, como o YouTube.
Como o Malware FacexWorm funciona?
Se o link de vídeo malicioso for aberto usando o Google Chrome, o FacexWorm redireciona a vítima para uma página falsa do YouTube, onde o usuário é incentivado a baixar uma extensão maliciosa de codec para continuar reproduzindo o vídeo.
Se o link de vídeo malicioso for aberto usando o Google Chrome, o FacexWorm redireciona a vítima para uma página falsa do YouTube, onde o usuário é incentivado a baixar uma extensão maliciosa de codec para continuar reproduzindo o vídeo.
Uma vez
instalada, a extensão do FacexWorm baixa outros módulos para executar várias tarefas maliciosas. Como a extensão ativa todas as permissões no momento da instalação, o
malware pode acessar ou modificar dados de qualquer site que o usuário
abrir.
"FacexWorm é um clone de uma extensão normal do Chrome, mas projetado com um código pequeno contendo sua principal rotina. Ele faz o download do código JavaScript adicional de um servidor assim que o navegador é aberto", disseram os pesquisadores.
"Toda vez que a vítima abrir uma nova página, o FacexWorm consultará seu servidor para encontrar e recuperar outro código JavaScript (hospedado em
um repositório do Github) e por fim executar seus comandos nessa página
da Web."
Para se espalhar ainda mais, o malware solicita o
token de acesso OAuth para a conta do Facebook da vítima, na qual
ele automaticamente obtém a lista de amigos e envia um link de um
vídeo falso e malicioso no YouTube. E com isso, o malware é capaz de roubar as senhas de usuários do Google, MyMonero e
Coinhive. Além disso, ele também é capaz de injetar códigos maliciosos na páginas para fazer a mineração de criptomoedas.
Quando o malware
detecta que o usuário acessou uma das 52 plataformas de criptomoedas ou
palavras-chave digitadas como "blockchain", "eth-" ou "ethereum" na
URL, o FacexWorm redirecionará a vítima para uma página fraudulenta para roubar as credenciais do usuário. As plataformas direcionadas incluem Poloniex, HitBTC, Bitfinex, Ethfinex e Binance e a carteira Blockchain.info.
Para evitar a detecção ou
remoção, a extensão FacexWorm fecha imediatamente a guia aberta quando
detecta que o usuário está abrindo a página de gerenciamento de extensão
do Chrome.
A Chrome Web
Store removeu muitas das extensões maliciosas antes de ser notificada
pelos pesquisadores da Trend Micro, mas os invasores continuam fazendo o
upload para a loja. O Facebook
Messenger também pode detectar os links mal-intencionados e socialmente
modificados e bloquear regularmente o comportamento de propagação das
contas afetadas do Facebook, disseram os pesquisadores.
Como as
campanhas do Facebook são bastante comuns, os usuários são
aconselhados a ficar atentos ao clicar em links e arquivos fornecidos, mesmo pelo seus amigos.
Como Remover no Chrome
1º Abra o menu Chrome, clique em configurações → Show advanced settings,
selecione Redefinir as configurações do navegador e clique em redefinir.
2º Digite "chrome://extensions" no campo URL e toque em Enter. Remova a extensão e feche o navegador.
Como remover no Firefox
1º Caso você esteja com a versão antigo do FacexWorm no Firefox, digite "about:addons" no campo de URL. Vá para extensões e excluir extensões do navegador.
2º Digite about:support na URL do Firefox e aperte enter. Você tem a opção e reiniciar o navegador com todas as extensões desativas e restaurar o Firefox. Restaure o Firefox.
Caso o passo-a-passo não resolva seu problema, entre no site cleanpc-malware para seguir um tutorial completo, onde faz a remoção de entradas no registro do windows e ensina como tirar a inicialização desse malware.
Fonte: TheHackerNews, Spyware
0 comentários:
Postar um comentário