Messenger wykorzystany do rozsyłania skryptu kopiącego kryptowaluty Strona główna Aktualności22.12.2017 15:43 Udostępnij: O autorze Maciej Olanicki @b.munro Skrypty kopiące kryptowaluty na komputerach nieświadomych niczego internautów w ciągu kilku miesięcy stał się popularnym sposobem spieniężania aktywności. Przyzwyczajamy się do ich obecności między innymi na serwisach torrentowych. Niestety, nieświadomą ofiarą koparek może także stać się także dowolny użytkownik Facebooka. Wszystko to za sprawą malware rozsyłanego za pośrednictwem Messengera. Eksperci z Trend Micro przeanalizowali szkodnika, zbierającego żniwo między innymi w Środkowej i Wschodniej Azji, ale także na Ukrainie. Stanowi on zagrożenie wyłącznie dla pecetów z Windowsem oraz Chromem i trzeba przyznać, że wymaga od użytkowników pewnej dozy naiwności. Instalator skryptów kopiących waluty wysyłany jest za pośrednictwem Messengera w postaci archiwum ZIP, którego nazwa sugeruje, że potencjalna ofiara ma do czynienia z plikiem wideo. źródło: Trend Micro Archiwum jest jednak plikiem wykonywalnym, który po uruchomieniu łączy z serwerem C&C. Z tego pobierane jest rozszerzenie zdolne do kopania na komputerze kryptowaluty Monero. Rozszerzenie instalowane jest po modyfikacji rejestru: Chrome uruchamia się ponownie już z odpowiednim parametrem, które wczytuje lokalne rozszerzenie. Pozwala to ominąć blokadę instalacji rozszerzeń spoza Chrome Web Store. Im dalej w las tym, ciemniej: po restarcie uruchamiany jest znów Facebook lub strona z odtwarzaczem filmu, jaki otrzymać miała przez Messengera ofiara. Tam otrzymywane są kolejne konfiguracje z serwera C&C. Samo kopanie kryptowalut odbywa się przez plik codec.exe, wariację miner.exe i XMRig. Konieczność otrzymywania poleceń wyeliminowano przez użycie pliku konfiguracyjnego JSON. Trzeba przyznać, że dystrybucja malware przez plik wideo rozsyłany przez Messengera nie stanowi szczególnie wyrafinowanej metody ataku. Warto także zaznaczyć, że malware rozsyła się wśród znajomych ofiary tylko wtedy, kiedy korzysta ona na Facebooku z automatycznego logowania. Administracja serwisu jest świadoma problemu i przeprowadza działania, które mają zablokować domeny wykorzystywane przez atakujących. Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Media społecznościowe narzędziem oszustów: przez rok skradziono ponad 3,25 mld dolarów 7 mar Oskar Ziomek Internet Bezpieczeństwo 20 Tak będzie wyglądał Facebook Messenger: kolejna aplikacja „cała na biało” 27 wrz 2018 Anna Rymsza Oprogramowanie 32 Jak wyłączyć przeglądarkę w Facebooku i Messengerze i otwierać linki na zewnątrz? 19 lis 2018 Maciej Olanicki Oprogramowanie Poradniki 34 Facebook Messenger kopiuje WhatsAppa – pozwoli usuwać wiadomości, ale czasu na decyzję jest mniej 7 lis 2018 Piotr Urbaniak Oprogramowanie Internet 14
Udostępnij: O autorze Maciej Olanicki @b.munro Skrypty kopiące kryptowaluty na komputerach nieświadomych niczego internautów w ciągu kilku miesięcy stał się popularnym sposobem spieniężania aktywności. Przyzwyczajamy się do ich obecności między innymi na serwisach torrentowych. Niestety, nieświadomą ofiarą koparek może także stać się także dowolny użytkownik Facebooka. Wszystko to za sprawą malware rozsyłanego za pośrednictwem Messengera. Eksperci z Trend Micro przeanalizowali szkodnika, zbierającego żniwo między innymi w Środkowej i Wschodniej Azji, ale także na Ukrainie. Stanowi on zagrożenie wyłącznie dla pecetów z Windowsem oraz Chromem i trzeba przyznać, że wymaga od użytkowników pewnej dozy naiwności. Instalator skryptów kopiących waluty wysyłany jest za pośrednictwem Messengera w postaci archiwum ZIP, którego nazwa sugeruje, że potencjalna ofiara ma do czynienia z plikiem wideo. źródło: Trend Micro Archiwum jest jednak plikiem wykonywalnym, który po uruchomieniu łączy z serwerem C&C. Z tego pobierane jest rozszerzenie zdolne do kopania na komputerze kryptowaluty Monero. Rozszerzenie instalowane jest po modyfikacji rejestru: Chrome uruchamia się ponownie już z odpowiednim parametrem, które wczytuje lokalne rozszerzenie. Pozwala to ominąć blokadę instalacji rozszerzeń spoza Chrome Web Store. Im dalej w las tym, ciemniej: po restarcie uruchamiany jest znów Facebook lub strona z odtwarzaczem filmu, jaki otrzymać miała przez Messengera ofiara. Tam otrzymywane są kolejne konfiguracje z serwera C&C. Samo kopanie kryptowalut odbywa się przez plik codec.exe, wariację miner.exe i XMRig. Konieczność otrzymywania poleceń wyeliminowano przez użycie pliku konfiguracyjnego JSON. Trzeba przyznać, że dystrybucja malware przez plik wideo rozsyłany przez Messengera nie stanowi szczególnie wyrafinowanej metody ataku. Warto także zaznaczyć, że malware rozsyła się wśród znajomych ofiary tylko wtedy, kiedy korzysta ona na Facebooku z automatycznego logowania. Administracja serwisu jest świadoma problemu i przeprowadza działania, które mają zablokować domeny wykorzystywane przez atakujących. Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji