Facebook Messenger — новая цель вредоносного ПО для скрытого майнинга

В связи с тем, что популярность биткоина и остальных криптовалют выросла, хакеры и киберпреступники задумались о разработке более изощренных способов атаковать ничего не подозревающих пользователей и их компьютеры. Facebook приютил у себя наибольшее количество беззащитных перед технологиями людей на планете, и от этого превратился в самую легкую платформу для атаки вредоносным ПО.

Согласно отчету в издании The Independent, эксперты по безопасности в компании Trend Micro обнаружили вредоносное ПО, которое заражает Facebook Messenger с целью тайного майнинга криптовалют. Майнинг-бот под названием Digmine берет под контроль ресурсы центрального процессора, для того чтобы в фоновом режиме майнить Monero, криптовалюту с абсолютной степенью анонимности, которая в данный момент торгуется в области $382.

Вирусное видео

Вредоносное ПО замаскировано под видео файл с названием video_xxxx.zip и приходит от одного из ваших контактов, чей ПК уже заражен. Видео активируется только через ПК-версию Messenger в браузере Google Chrome и не поражает мобильные версии.

Таким способом хакеры могут получить доступ к вашему аккаунту в Facebook и использовать его, чтобы через контакт-лист распространить вредоносное видео дальше. Представители фирмы по кибербезопасности говорят:

«Если вход в Facebook пользователя осуществляется автоматически, Digmine будет управлять мессенджером человека, чтобы рассылать ссылку на файл его друзьям. Пока что атака на Facebook идет лишь с целью распространения вируса, но хакерам ничего не будет стоить заодно и взломать ваш аккаунт».

Перегруженность центрального процессора

Digimine устанавливает программу для майнинга miner.exe, которая является модифицированной версией общедоступной программы для майнинга Monero под названием XMRig. Она незаметно майнит в фоновом режиме, отсылая профит хакерам. Бот также устанавливает самозапускающийся механизм, который приводит в действие Chrome с вредоносным расширением. Оно открывает доступ к Facebook аккаунтам жертв и распространяет видео их друзьям через Messenger.

Обычно расширение может быть установлено только через официальный магазин Chrome Web Store, однако, хакеры обошли этот момент, запуская браузер вместе с вредоносным расширением через командную строку.

Представители Trend Micro объяснили:

«Расширение будет считывать собственную конфигурацию с сервера C&C [command and control]. Сервер может инструктировать расширение либо продолжить процесс залогинивания в Facebook или открыть фейковую страницу, которая будет проигрывать видео. Веб-сайт с ловушкой проигрывает видео как часть структуры C&C. Сервис притворяется сайтом потокового видео, но также содержит множество компонентов конфигураций вредоносного ПО».

Facebook является рассадником мошеннических рассылок, спама, кликбейта, а также вредоносных программ, поэтому тем, кто проводит много времени в этой соцсети, стоит проявить бдительность. Это окупится.

@bitcoinruss