Messenger wykorzystany do rozsyłania skryptu kopiącego kryptowaluty

O autorze

Maciej Olanicki

@b.munro

Na dziobie okrętu. Stawia znaczące nad znaczonym, lubi czapki z daszkiem, teorię gier, tłumaczenia maszynowe i karabiny maszynowe.

Skrypty kopiące kryptowaluty na komputerach nieświadomych niczego internautów w ciągu kilku miesięcy stał się popularnym sposobem spieniężania aktywności. Przyzwyczajamy się do ich obecności między innymi na serwisach torrentowych. Niestety, nieświadomą ofiarą koparek może także stać się także dowolny użytkownik Facebooka. Wszystko to za sprawą malware rozsyłanego za pośrednictwem Messengera.

Eksperci z Trend Micro przeanalizowali szkodnika, zbierającego żniwo między innymi w Środkowej i Wschodniej Azji, ale także na Ukrainie. Stanowi on zagrożenie wyłącznie dla pecetów z Windowsem oraz Chromem i trzeba przyznać, że wymaga od użytkowników pewnej dozy naiwności. Instalator skryptów kopiących waluty wysyłany jest za pośrednictwem Messengera w postaci archiwum ZIP, którego nazwa sugeruje, że potencjalna ofiara ma do czynienia z plikiem wideo.

Archiwum jest jednak plikiem wykonywalnym, który po uruchomieniu łączy z serwerem C&C. Z tego pobierane jest rozszerzenie zdolne do kopania na komputerze kryptowaluty Monero. Rozszerzenie instalowane jest po modyfikacji rejestru: Chrome uruchamia się ponownie już z odpowiednim parametrem, które wczytuje lokalne rozszerzenie. Pozwala to ominąć blokadę instalacji rozszerzeń spoza Chrome Web Store.

Im dalej w las tym, ciemniej: po restarcie uruchamiany jest znów Facebook lub strona z odtwarzaczem filmu, jaki otrzymać miała przez Messengera ofiara. Tam otrzymywane są kolejne konfiguracje z serwera C&C. Samo kopanie kryptowalut odbywa się przez plik codec.exe, wariację miner.exe i XMRig. Konieczność otrzymywania poleceń wyeliminowano przez użycie pliku konfiguracyjnego JSON.

Trzeba przyznać, że dystrybucja malware przez plik wideo rozsyłany przez Messengera nie stanowi szczególnie wyrafinowanej metody ataku. Warto także zaznaczyć, że malware rozsyła się wśród znajomych ofiary tylko wtedy, kiedy korzysta ona na Facebooku z automatycznego logowania. Administracja serwisu jest świadoma problemu i przeprowadza działania, które mają zablokować domeny wykorzystywane przez atakujących.