Facebook和Chrome用户要注意了,最近有一款名叫FacexWorm的病毒,可以窃取密码,窃取加密货币,或者向Facebook用户发送垃圾邮件。
趋势科技研究人员于4月底发现这个新病毒,似乎与去年的另外两起Facebook Messenger垃圾邮件活动有关,而一起发生在8月,另一起发生于2017年12月,后者传播了Digmine病毒。
FacexWorm的工作方式与前两次攻击类似,不过增加了针对加密货币的新功能。
感染途径跟之前没有变化,通常始于用户通过Facebook Messenger收到的垃圾邮件。
点击该链接后用户被重定向到一个仿冒的YouTube网页,这个网页会让用户安装跟YouTube相关的Chrome扩展程序。
通过分析这个插件,趋势科技发现它会向用户的Chrome浏览器添加代码,以便从登录表单中窃取密码。
不过窃取的行为在大部分网站里都不会生效,一旦用户访问Google,Coinhive或MyMonero时就会生效。收集的密码会被发送到FacexWorm的服务器。
另外,FacexWorm扩展会自动将用户重定向到假冒的支付页面,要求用户发送一小笔以太币以验证其帐户。
只有当用户尝试访问与加密货币相关的网站时才会发生重定向。该扩展内附一个列表,里面有52个目标网站。此外,它还会显示在网址中还包含“eth”,“ethereum”或“blockchain”等字词的网站上。
这款扩展还会插入加密挖掘脚本,加载Coinhive浏览器中的挖矿脚本。
另外,这款插件还可以交换交易平台上的收件人信息,交易平台包括Poloniex,HitBTC,Bitfinex,Ethfinex和Binance以及Blockchain.info等。
趋势科技称FacexWorm可以替代比特币(BTC),比特币黄金(BTG),比特币现金(BCH),破折号(DASH),ETH,以太坊(ETC),波纹(XRP),莱特币(LTC),Zcash ZEC)和Monero(XMR)交易,将接收者的地址转换为FacexWorm恶意软件创建者拥有的地址。
由于相关恶意行为很快被发现,导致黑客并没有获利,通过公开信息查询,我们只找到一笔价值2.49美元的交易。
除了上面提到的几点,FacexWorm还会把用户重定向到推广链接,这也是病毒获利的一种方式之一。
重定向的功能影响的网站包括Binance,DigitalOcean,FreeBitco.in,FreeDoge.co.in和HashFlare等。
趋势科技表示,他们很早就报告给了Google和Facebook,Chrome商店员工删除了扩展程序,而Facebook则禁止与垃圾邮件相关的域名,共同阻止了攻击的扩散。
* 参考来源:BleepingComputer,本文作者Sphinx,转载注明来自FreeBuf