Messenger wykorzystany do rozsyłania skryptu kopiącego kryptowaluty

Messenger wykorzystany do rozsyłania skryptu kopiącego kryptowaluty

22.12.2017 15:43

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Skrypty kopiące kryptowaluty na komputerach nieświadomych niczego internautów w ciągu kilku miesięcy stał się popularnym sposobem spieniężania aktywności. Przyzwyczajamy się do ich obecności między innymi na serwisach torrentowych. Niestety, nieświadomą ofiarą koparek może także stać się także dowolny użytkownik Facebooka. Wszystko to za sprawą malware rozsyłanego za pośrednictwem Messengera.

Eksperci z Trend Micro przeanalizowali szkodnika, zbierającego żniwo między innymi w Środkowej i Wschodniej Azji, ale także na Ukrainie. Stanowi on zagrożenie wyłącznie dla pecetów z Windowsem oraz Chromem i trzeba przyznać, że wymaga od użytkowników pewnej dozy naiwności. Instalator skryptów kopiących waluty wysyłany jest za pośrednictwem Messengera w postaci archiwum ZIP, którego nazwa sugeruje, że potencjalna ofiara ma do czynienia z plikiem wideo.

źródło: Trend Micro
źródło: Trend Micro

Archiwum jest jednak plikiem wykonywalnym, który po uruchomieniu łączy z serwerem C&C. Z tego pobierane jest rozszerzenie zdolne do kopania na komputerze kryptowaluty Monero. Rozszerzenie instalowane jest po modyfikacji rejestru: Chrome uruchamia się ponownie już z odpowiednim parametrem, które wczytuje lokalne rozszerzenie. Pozwala to ominąć blokadę instalacji rozszerzeń spoza Chrome Web Store.

Im dalej w las tym, ciemniej: po restarcie uruchamiany jest znów Facebook lub strona z odtwarzaczem filmu, jaki otrzymać miała przez Messengera ofiara. Tam otrzymywane są kolejne konfiguracje z serwera C&C. Samo kopanie kryptowalut odbywa się przez plik codec.exe, wariację miner.exe i XMRig. Konieczność otrzymywania poleceń wyeliminowano przez użycie pliku konfiguracyjnego JSON.

Obraz

Trzeba przyznać, że dystrybucja malware przez plik wideo rozsyłany przez Messengera nie stanowi szczególnie wyrafinowanej metody ataku. Warto także zaznaczyć, że malware rozsyła się wśród znajomych ofiary tylko wtedy, kiedy korzysta ona na Facebooku z automatycznego logowania. Administracja serwisu jest świadoma problemu i przeprowadza działania, które mają zablokować domeny wykorzystywane przez atakujących.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (30)