Bot kopiący kryptowaluty rozprzestrzenia się poprzez Facebook Messenger

Bot kopiący kryptowaluty rozprzestrzenia się poprzez Facebook Messenger

Trend Micro, firma zajmująca się bezpieczeństwem ogłosiła, że znalazła nową odmianę bota stworzonego, by bez wiedzy użytkownika wykorzystywać jego komputer do kopania kryptowalut. Digmine szybko się rozprzestrzenia, a do infekcji wykorzystuje popularny komunikator Facebook Messenger.

Po raz pierwszy działalność bota zaobserwowano w Korei Południowej, jednak od tego czasu rozprzestrzenił się on do Wietnamu, Azerbejdżanu, Wietnamu, Filipiny, Tajlandię, Wenezuelę oraz dotarł blisko nas, bo zgłaszane są raporty z Ukrainy. Trend Micro podkreśla, że w tempie w jakim postępuje infekcja, bot wkrótce dostanie się również do innych krajów. Trend Micro zauważa, że Digmine obecnie działa tylko na komputerach, więc urządzenia mobilne nie są zagrożone. Malware wygląda jak plik wideo dla niczego nie podejrzewającej ofiary, jednak jest plikiem wykonywalnym w postaci skryptu. Jeśli użytkownik ma ustawione automatyczne logowanie do swojego konta na portalu Facebook, malware będzie wtedy mogło zalogować się za użytkownika i rozprzestrzenić się do wszystkich znajomych ofiary za pomocą odnośnika do fałszywego materiału wideo.

Pozyskiwanie kryptowalut coraz częściej przybiera formy przekraczające granice prawa

Malware jest aktualizowane za pomocą serwera kontroli C2, więc może zyskać bardziej destrukcyjne możliwości w przyszłości, jak przejmowanie dalszej kontroli nad zainfekowanymi kontami na portalu Facebook. Bot Digmine jak każde malware kopiące kryptowaluty ma na celu pozostać na komputerze ofiary tak długo jak to możliwe, by maksymalnie wykorzystać cykle CPU i GPU do kopania wirtualnej waluty. Skrypt Digmine początkowo pobiera dodatkowe elementy z serwera C2, po czym instaluje się na komputerze ofiary. Dodatkowe elementy zapisywane są w lokalizacji %appdata%username. Następnie włączany jest autostart w rejestrze oraz aktywowany podejrzany dodatek do przeglądarki Chrome. Rozszerzenia takie normalnie mogą być instalowane tylko poprzez Chrome Web Store, jednakże autor bota ominął te restrykcje wykorzystując wiersz poleceń. Rozszerzenie do przeglądarki ma pomóc rozprzestrzeniać malware za pomocą Facebooka. Trend Micro zaleca wylogowywać się każdorazowo po zakończeniu przeglądania Facebooka oraz używać mocnego hasła z dwuetapowym logowaniem. Firma wskazała zagrożenie pracownikom Facebooka, co poskutkowało maswym usuwaniem linków do malware. Dodatkowo Facebook oferuje darmowe skanowanie komputera u jednego ze swoich partnerów, jeśli ktoś podejrzewa, że jego komputer mógł zostać zainfekowany.

Obserwuj nas w Google News

Pokaż / Dodaj komentarze do: Bot kopiący kryptowaluty rozprzestrzenia się poprzez Facebook Messenger

 0