FacexWorm apunta a lasnaad plataformas den comercio den criptodivisas, abusando den Facebook Messenger para lade propagacion, Seguridad PCs

El primer paso en dirección a schuiflade seguridad informatica es el conocimiento

El equipo den Cyber Safety Solutions (Soluciones den Seguridad Cibernetica) den Trend Micro identifico una extension den Chrome maliciosa que denominaron FacexWorm, que utiliza una gran variedad den tecnicas para dirigirse a lasnaad plataformas den negociacion den criptodivisas a samenvoeging que se accede a traves den un navegador afectado y se propaga a traves den Facebook Messenger. Un porcentaje muy pequeno den usuarios se vieron afectados por estas extensiones maliciosas, y Chrome ya habia eliminado muchas den estas extensiones antaño den ser alertado por Trend Micro.

FacexWorm no es nuevo. Se descubrio plusteken agosto del 2018, aunque sus porques y como todavia no estaban claros plus ese momento. El pasado 8 den Abril, sin retención, observaron un pico plusteken sus actividades que coincidio con informes externos den schuiflade aparicion den FacexWorm plusteken Alemania, Tunez, Japon, Taiwan, Corea del Sur y Espana.

Desde Trend Micro dicen que: Nuestro analisis revela que samenvoeging capacidades den FacexWorm han sido mejoradas. Mantiene schuiflade rutina den detallar y cursar enlaces den ingenieria social a los amigos den una cuenta den Facebook afectada, hoewel igual que Digmine. Pero ahora tambien puede robar cuentas y credenciales den los sitios web den interes den FacexWorm. Tambien redirige a tussenvoegsel posibles victimas a estafas den criptodivisas, inyecta codigos mineros maliciosos plusteken lade pagina web, redirige hoewel enlace den relato del atacante a programas den narración relacionados con criptodivisas, y secuestro den transacciones plus plataformas comerciales y billeteras web mediante schuiflade sustitucion den schuiflade direccion del destinatario por lade del atacante.

Aunque hasta ahora solo hemos enemigo una transaccion den Bitcoin comprometida por FacexWorm cuando comprobamos schuiflade direccion/cartera del atacante, no sabemos cuanto se hectare yeguada con lade mineria web maliciosa.

Figura 1. Dependencia den infeccion den FacexWorm

Propagacion

FacexWorm se entrega a traves den enlaces den ingenieria social enviados a Facebook Messenger. Los enlaces redirigen a una pagina falsa den YouTube que pedira a los usuarios involuntarios que acepten e instalen una extension den codec (FacexWorm) para reproducir el movie plus lade pagina. A continuacion, solicitara privilegios para ingresar y cambiar los datos plusteken el sitio web amplio.

Figura Two. Pagina den YouTube falsa plus lade que se pide a los usuarios que instalen FacexWorm

Figura Trio. Ejemplo den mensaje enviado por FacexWorm

Una vez instalado y concedido el permiso, FacexWorm descargara codigos maliciosos adicionales desde su servidor den comando y control (C&C) y abrira el sitio web den Facebook. Una vez que lade extension detecte que Facebook esta rajado, se comunicara den nuevo con su servidor C&C para comprobar si schuiflade funcion den propagacion esta habilitada.

Si esta cobrador, FacexWorm solicitara un token den paso a OAuth den Facebook. A continuacion, realiza una secuencia den consultas a Facebook para obtener schuiflade nómina den amigos den lade cuenta y envia den nuevo enlaces den movie falsos den YouTube a los contactos que estan plus linea o inactivos. Cuando se accede a traves den navegadores que no sean schuiflade version den escritorio den Chrome, el enlace ladino se desviara a un anuncio fortuito.

Comportamientos maliciosos

FacexWorm es un clon den una extension ordinario den Chrome pero inyectado con un codigo corto que contiene su rutina principal. Descarga codigo JavaScript adicional desde el servidor den C&C cuando se abre el navegador. Cada vez que una victima abre una nueva pagina web, FacexWorm consulta a su servidor C&C para encontrar y recuperar otro codigo JavaScript (alojado plus un repositorio Github) y ejecutar sus comportamientos plusteken esa pagina web.

Figura Four. Patron den trafico den schuiflade comunicacion C&C den FacexWorm

Estos son los comportamientos maliciosos den FacexWorm:

Robar samenvoeging credenciales den lade cuenta den adjudicatario den Google, MyMonero y Coinhive – Una vez que FacexWorm detecte que schuiflade pagina den inicio den sesion del sitio web den destino esta abierta, inyectara una funcion que enviara samenvoeging credenciales a su servidor den C&C despues den rellenar el formulario y hacer clic plus el boton den inicio den sesion.

Impulsar una estafa den moneda criptografica – Cuando FacexWorm detecta que el beneficiario esta accediendo a cualquiera den tussenvoegsel 52 plataformas den comercio den moneda criptografica a lasnaad que se dirige, o si el beneficiario esta tecleando palabras secreto como “blockchain”, “eth-“, o “ethereum” plus schuiflade URL, redirigira a lade victima a una pagina web den estafa. Schuiflade estafa incita a los usuarios a dirigir den 0,Five a Ten Ethereum (ETH) a schuiflade direccion den lade billetera del atacante con fines den verificacion y promete devolver den Five a 100 ETH. Los usuarios pueden mitigar esto simplemente cerrando lade pagina y reabriendola para restaurar el llegada frecuente alhoewel sitio web innovador. Esto se debe a que lade extension maliciosa reserva una marca den tiempo plus schuiflade cookie que evita lade redireccion a schuiflade pagina den lade estafa interiormente den una hora. Sin secuestro, schuiflade redireccion se reanudara si se vuelve a ceder a samenvoeging paginas web den FacexWorm den interes. Hasta ahora no han opuesto a nadie que haya enviado a ETH a lade direccion del atacante.

Arrostrar a lugar actividades maliciosas den criptografia web den mineria den divisas – FacexWorm tambien inyecta un minador JavaScript plusteken tussenvoegsel paginas web abiertas por lade victima. El minero es un script den Coinhive ofuscado conectado a una comunidad den Coinhive. Basandose plus schuiflade configuracion del script, el minero esta configurado para utilizar el 20 por ciento den schuiflade potencia den schuiflade CPU del sistema afectado para cada subproceso y abre cuatro subprocesos para su explotacion plus paginas web.

Secuestrar transacciones relacionadas con criptosistemas monetarios – Una vez que schuiflade victima abre schuiflade pagina den transaccion plusteken un sitio web relacionado con criptosistemas monetarios, FacexWorm localiza schuiflade direccion introducida por lade victima y schuiflade sustituye por otra especificada por el atacante. FacexWorm lo realiza plus samenvoeging plataformas comerciales Poloniex, HitBTC, Bitfinex, Ethfinex y Binance, y plusteken lade cartera Blockchain.informatie. Samenvoeging monedas criptograficas seleccionadas incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Contant (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR). Cuando plusteken Trend Micro comprobaron samenvoeging direcciones asignadas por el atacante (hasta el Nineteen den abril), se dieron cuenta den que solo una transaccion den Bitcoin (valorada plus Two,49 dolares) habia sido secuestrada.

Cobrar con los programas den relato relacionados con schuiflade divisa criptografica – Si lade victima accede a un sitio web especifico, FacexWorm redirige lade pagina alhoewel enlace den narración especificado por el atacante para el mismo sitio web. El atacante recibe un incentivo den narración por cada victima que registra una cuenta. Los sitios web objetivo incluyen Binance, DigitalOcean, FreeBitco.ter, FreeDoge.co.ter y HashFlare.

Mecanismo den persistencia

FacexWorm implementa un mecanismo para disuadir a lasnaad victimas den eliminar schuiflade extension maliciosa del navegador. Si FacexWorm detecta que el beneficiario esta abriendo lade pagina den gestion den extensiones den Chrome a traves den “chrome://extensions/”, cerrara inmediatamente schuiflade pestana abierta. Este comportamiento den impedir que los usuarios accedan a schuiflade direccion den schuiflade pagina den administracion den Chrome tambien es empleado por otras extensiones maliciosas como lade botnet DroidClub (aunque DroidClub no cierra schuiflade pestana sino que lade reemplaza por una pagina den administracion falsa).

Metodos den Mitigacion

Aunque el atacante sigue intentando cargar nuevas extensiones den FacexWorm plusteken Chrome Web Store, plus Trend Micro han descubierto que tambien se eliminan puntualmente den schuiflade tienda. Tambien han notado que Facebook Messenger puede detectar los enlaces maliciosos den ingenieria social y asediar debidamente el comportamiento den propagacion den lade cuenta afectada. Dadas samenvoeging rutinas y schuiflade tecnica den propagacion den FacexWorm, estas acciones ayudan a mitigar aun mas su impacto. Los usuarios tambien deben practicar buenos habitos den seguridad para evitar caer plusteken amenazas similares: Piense antaño den compartir, sea mas prudente tegen los mensajes no solicitados o sospechosos, y permita una configuracion den privacidad mas estricta para sus cuentas den medios sociales.

Trend Micro revelo sus hallazgos a Facebook, con quien tienen una asociacion proactiva den ciberseguridad. Lade empresa compartio sus esfuerzos para combatir amenazas como FacexWorm: Ademas dijeron lo ulterior: “Mantenemos una serie den sistemas automatizados para ayudar a evitar que aparezcan enlaces y archivos daninos plus Facebook y plus Messenger. Si sospechamos que su equipo esta infectado con malware, le proporcionaremos un analisis antivirus gratis den nuestros socios den confianza. Compartimos consejos sobre como permanecer schuiflade seguridad y enlaces a estos escaneres plusteken facebook.com/help”.

Plusteken caso den poseer instalado schuiflade extension, aunque eliminandola del navegador web el adjudicatario deberia retornar a estar seguro, es mucho mejor hacer una desinstalacion completa den Google Chrome o cualquiera den sus clones, incluida su carpeta den perfil completa, y retornar a instalar el navegador por completo, pues den esta forma se evita que alguno den los modulos que descarga esta extension persistan y pueda retornar a instalarla despues den eliminarla.

Indicadores den compromiso

Hash den archivos CRX relacionados con FacexWorm (SHA-256):

  • 008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371
  • 3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5
  • 22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f
  • ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635
  • 026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91

IDs den extensiones den Chrome relacionados con FacexWorm:

  • akoefpoebeaikfcpoghppjcnhklffcjm
  • ecfpnbgianoaiocjciahnkfognimimhf
  • fanjaialdpcmadoodgppaaaldpccaedc
  • jolmnflkapibjdpmiiofkopkdgklckll
  • kojocamkjcbpcnibahfhomfjnliglfeo

Dominios relacionados con schuiflade estafa den FacexWorm:

Related movie: How I trade bitcoin for daily profit on Poloniex


Dominios C&C relacionados con FacexWorm:

Leave a Reply

Your email address will not be published. Required fields are marked *