freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FacexWorm通过Facebook Messenger和恶意Chrome扩展传播
2018-05-03 10:00:36
所属地 上海

FacexWorm.png

Facebook和Chrome用户要注意了,最近有一款名叫FacexWorm的病毒,可以窃取密码,窃取加密货币,或者向Facebook用户发送垃圾邮件。

趋势科技研究人员于4月底发现这个新病毒,似乎与去年的另外两起Facebook Messenger垃圾邮件活动有关,而一起发生在8月,另一起发生于2017年12月,后者传播了Digmine病毒。

FacexWorm的工作方式与前两次攻击类似,不过增加了针对加密货币的新功能。

FacexWorm如何传播感染

感染途径跟之前没有变化,通常始于用户通过Facebook Messenger收到的垃圾邮件。

点击该链接后用户被重定向到一个仿冒的YouTube网页,这个网页会让用户安装跟YouTube相关的Chrome扩展程序。

FacexWorm-spam.png

发送垃圾邮件

通过分析这个插件,趋势科技发现它会向用户的Chrome浏览器添加代码,以便从登录表单中窃取密码。

不过窃取的行为在大部分网站里都不会生效,一旦用户访问Google,Coinhive或MyMonero时就会生效。收集的密码会被发送到FacexWorm的服务器。

将用户重定向到假冒页面

另外,FacexWorm扩展会自动将用户重定向到假冒的支付页面,要求用户发送一小笔以太币以验证其帐户。

FacexWorm-scam.png

只有当用户尝试访问与加密货币相关的网站时才会发生重定向。该扩展内附一个列表,里面有52个目标网站。此外,它还会显示在网址中还包含“eth”,“ethereum”或“blockchain”等字词的网站上。

这款扩展还会插入加密挖掘脚本,加载Coinhive浏览器中的挖矿脚本。

窃取加密货币

另外,这款插件还可以交换交易平台上的收件人信息,交易平台包括Poloniex,HitBTC,Bitfinex,Ethfinex和Binance以及Blockchain.info等。

趋势科技称FacexWorm可以替代比特币(BTC),比特币黄金(BTG),比特币现金(BCH),破折号(DASH),ETH,以太坊(ETC),波纹(XRP),莱特币(LTC),Zcash ZEC)和Monero(XMR)交易,将接收者的地址转换为FacexWorm恶意软件创建者拥有的地址。

由于相关恶意行为很快被发现,导致黑客并没有获利,通过公开信息查询,我们只找到一笔价值2.49美元的交易。

最后一招:推广链接

除了上面提到的几点,FacexWorm还会把用户重定向到推广链接,这也是病毒获利的一种方式之一。

重定向的功能影响的网站包括Binance,DigitalOcean,FreeBitco.in,FreeDoge.co.in和HashFlare等。

趋势科技表示,他们很早就报告给了Google和Facebook,Chrome商店员工删除了扩展程序,而Facebook则禁止与垃圾邮件相关的域名,共同阻止了攻击的扩散。

* 参考来源:BleepingComputer,本文作者Sphinx,转载注明来自FreeBuf

# chrome # Messenger # FacexWorm
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者