Zero-day malware truer med å stjele innloggingsopplysninger til Facebook

7 utvidelser i Google Web Store som er infisert med malware

Facebook-brukere blir igjen truet av malware. Denne gangen ble en ny trussel mot det sosiale nettverket oppdaget av sikkerhetsteamet hos Radware security. Viruset har fått navnet Nigelthorn, og kommer inn i systemet via lenker på Facebook. Malware-programmer er i stand til å installere ondsinnede utvidelser som i tillegg brukes til å utvinne krytpovaluta på offerets datamaskin. Det er rapportert at viruset har infisert mer enn 100 000 brukere siden mars 2018.

For å omgå Googles valideringsanalyse, har hackerne kopiert en legitim utvidelse, og satt inn et ondsinnet skript slik at malware-programmet kan kjøres uten å bli oppdaget. Slike utvidelser inkluderer Nigelify, PwnerLike og iHabno. Det er oppdaget totalt sju programmer som inneholder den ondsinnede Nigelthorn-koden. Google fjernet heldigvis infiserte apper få timer etter at de ble lanserte.

Det er verdt å nevne at Google Chrome-brukere er de eneste som er påvirket, ettersom malware-trusselen kun finnes i Chrome-utvidelser.

Slik fungerer Nigelthorn

Som de fleste andre Facbook-virus, mottar brukeren enten en privat melding fra en person i vennelisten, eller vedkommende blir tagget i et innlegg som inneholder en ondsinnet lenke. Etter å ha klikket på den, blir brukeren omdirigert til en falsk YouTube-nettside som ber dem om å installere et bestemt program for å spille av videoen.

Hvis brukeren fortsetter, blir appen, normalt Nigelify, installert, og datamaskinen blir øyeblikkelig infisert av malware. Javaskriptet laster deretter ned en konfigureringsfil fra hackernes C2 som inkluderer et sett med tilleggsprogrammer (kryptominer, YouTube-lenker og en kode som reproduserer Facebook-lenker).

I tillegg laster Nigelthorn ned et offentlig tilgjengelig verktøy for kryptomining, og begynner å utvinne Monero, Bytecoin eller Electroneum på den infiserte datamaskinen. Dette innebærer at hastigheten på datamaskinen går ned ettersom prosessen bruker nesten 100 % av datamaskinens CPU. Sikkerhetseksperter har annonsert at nettkriminelle har klart å utvinne nesten $1000 de siste seks dagene (først og fremst Monero).

Malware-trusselen begynner dessuten å spre seg selv. Den innhenter relevant informasjon for å kunne spre malware på brukerens nettverk. Så snart offeret klikker på den ondsinnede lenken, sendes en kopi av meldingen til en vilkårlig person på vennelisten. På denne måten fortsetter malware-trusselen å spres til andre.

Viruset prøver dessuten å stjele opplysninger om offerets Facebook-konto, i tillegg til opplysninger om informasjonskapsler fra Instagram. Hvis en bruker oppgir informasjon sendes denne til svindlernes C2.

Facebook-viruset kommer ikke til å slutte å infisere brukere

Det er tydelig at Facebook-virus er kommet for å bli, ettersom de lykkes i å overbevise brukere om å klikke på ondsinnede lenker og deretter infisere systemene deres med malware. Som man ser fra de nylige kampanjene Stresspaint og FacexWorm, fortsetter nettkriminelle å finne metoder for å omgå innebygde sikkerhetstiltak. Brukere bør derfor være ekstremt forsiktige når de klikker på lenker, selv om de ser legitime ut eller om de kommer fra en betrodd venn.