Digmine, el nuevo
malware que ese expande por FacebookDigmine, el nuevo malware que ese expande
por Facebook
Facebook es conocido
por todos como una de las redes sociales más populares del mundo. Es por ello
que cuando hay una campaña de malware afecta a muchos usuarios. Hoy estamos
ante una de estas noticias. Esta nueva variedad se denomina Digmine, y es un
malware que se distribuye a través de Facebook Messenger. Esta es, como
sabemos, la plataforma de mensajería instantánea oficial de Facebook. Cuenta
con usuarios en las diferentes plataformas tanto para ordenador como para dispositivos
móviles.
Digmine, nueva campaña de malware de Facebook
Digmine instala un
minero de criptomonedas Monero en el equipo de la víctima. Además introduce una
extensión maliciosa para el navegador Google Chrome. Esto le ayuda a propagarse
a más víctimas.
Como sabemos, la
minería de criptomoendas es uno de los tipos de malware que más está aumentando
últimamente. Los ciberdelincuentes utilizan los dispositivos de los usuarios
para minar estas monedas digitales que están tan en auge. Esto afecta directamente
al rendimiento de estos equipos, además de que pueden reducir la vida útil de
los dispositivos por sobrecalentamiento.
Además, el hecho de
que ataquen a Google Chrome e introduzcan una extensión maliciosa en este
navegador no es casualidad. Se trata del más utilizado en las diferentes
plataformas. Tienen ahí un gran número de usuarios a los que infectar.
Falso vídeo
Las víctimas
generalmente reciben un archivo llamado video_xxxx.zip (donde xxxx es un número
de cuatro dígitos) que intenta hacerse pasar como un archivo de video. El
archivo oculta un EXE. Los usuarios descuidados que ejecuten este archivo se
infectarán con Digmine.
Un investigador de
seguridad de Corea del Sur llamado c0nstant y expertos de Trend Micro dicen
que, actualmente, el servidor envía a las víctimas un minero de Monero y una
extensión de Chrome.
Digminer también
agrega un mecanismo de inicio automático basado en el registro, y luego instala
el minero de Monero y la extensión de Chrome que acaba de recibir.
Normalmente, las
extensiones de Chrome solo se pueden cargar desde Chrome Web Store, la página
oficial, pero en este caso los atacantes están instalando la extensión
maliciosa mediante un ingenioso truco que utiliza los parámetros de la línea de
comandos de la aplicación Chrome.
La función de la
extensión es acceder al perfil de Facebook Messenger del usuario y enviar
mensajes privados a todos los contactos de la víctima. Este mensaje contiene un
video_xxxx.zip similar.
El mecanismo de
autopropagación utilizado por esta extensión de Chrome solo funciona si Chrome
inicia automáticamente la sesión de usuarios en sus cuentas de Facebook. Si el
usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no
funcionará, ya que no podrá llegar a la interfaz de Facebook Messenger para
enviar sus mensajes de correo no deseado.
Los investigadores
han descubierto que los atacantes utilizan archivos EXE. Esto significa que
solo los usuarios de Windows son actualmente objetivo, pero no los usuarios de
Linux o Mac. Al parecer, la campaña se dirigió primero a los usuarios de Corea
del Sur, pero desde entonces se ha extendido a otros países como Vietnam,
Azerbaiyán, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.
Fuente: Bleeping
Computer
