Descubierto por Trend
Micro, este malware se camufla tras una extensión de Google Chrome para robar
criptomonedas a las víctimas.
La técnica de ataque
utilizada por la extensión maliciosa surgió por primera vez en agosto del año
pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades
a principios de este mes.
Estas novedades
incluyen el robo de credenciales de sitios web, redirigir a las víctimas a
estafas de criptomonedas y/o al enlace de referencia del atacante en programas
relacionados con criptomonedas e inyectar mineros en las webs.
A finales del año
pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a
través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así
como a Google Chrome.
Al igual que el
malware que acabamos de mencionar, FacexWorm también se propaga mediante
ingeniería social a través de Facebook Messenger para redirigir a las víctimas
a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la
extensión solo se diseñó para usuarios de Chrome. Si el malware detecta
cualquier otro navegador web en el dispositivo de la víctima, redirige a un
anuncio de aspecto inofensivo.
Cómo funciona
Si el enlace al vídeo
malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página
falsa de YouTube, donde se aconseja al usuario a descargar una extensión
maliciosa para el navegador como si de un códec para reproducir el vídeo se
tratase.
Una vez instalada, la
extensión descarga más módulos para realizar varias tareas maliciosas.
"FacexWorm es un
clon de una extensión legítima de Chrome, pero se le inyectó un código que
contiene su rutina principal. Descarga el código JavaScript adicional del
servidor C&C cuando se abre el navegador", explican los
investigadores.
Dado que la extensión
toma todos los permisos extendidos en el momento de la instalación, el malware
puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las
criptomonedas reconocidas a las que se dirige FacexWorm incluyen Bitcoin (BTC),
Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum
Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas
de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar
atentos al hacer clic en enlaces y archivos proporcionados a través de la
plataforma del sitio.
Más información:
- FacexWorm Targets Cryptocurrency Trading Platforms,
Abuses Facebook Messenger for Propagation: https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/
Fuente: Hispasec