Facebookos bejelentkezési adatokra pályázó nulladik napi malware

A Google webáruházának 7 bővítményében találtak malware-fertőzést

A Facebook felhasználóit ismét malware fenyegeti. A közösségi oldalt támadó kampányt ezúttal a Radware biztonsági csapata azonosította. A Nigelthorn névre keresztelt vírus ügyesen felépített linkeken keresztül jut a Facebookra. A malware személyes információkhoz (például bejelentkezési adatokhoz) férhet hozzá, valamint kártékony bővítményt telepíthet, amely a fertőzött gépen kriptopénzt bányászhat. A legújabb információk szerint 2018 májusa óta több mint 100.000 felhasználót sikerült megfertőznie.

A Google védelmi rendszerének megkerüléséhez a támadók ártalmatlan bővítményeket másoltak le, majd ezekben helyezték el a kártékony kódot, hogy észrevétlenül a webáruházba juttathassák. A lemásolt bővítmények közé tartozik a Nigelify, a PwnerLike és az iHabno. Összesen 7 alkalmazásról állapították meg, hogy a Nigelthorn kódját tartalmazza. Szerencsére a Google az azonosítást követően néhány órán belül eltávolította a rosszindulatú alkalmazásokat.

Érdemes tudni, hogy csak a Google Chrome felhasználó lehetnek érintettek, hiszen a malware Chrome-bővítményként terjed.

A Nigelthorn működése

Ahogyan a legtöbb más Facebook vírus esetében, ezúttal is az történik, hogy a felhasználó üzenetet kap valamelyik ismerősétől vagy bejelölik egy képen – és mindkettőben szerepel a kártékony link. A megnyitást követően a felhasználó egy YouTube-nak tűnő weboldalra kerül, amely a videó lejátszásához egy alkalmazás telepítését kéri.

Ha a felhasználó ebbe beleegyezik, az alkalmazás (általában a Nigelify) a kártékony kóddal együtt a rendszerbe jut. A felhasznált JavaScript kód ezután konfigurációs fájlt tölt le a támadók kiszolgálójáról, amely beépülő modulokat tartalmaz (kriptobányászt, megtévesztő YouTube-os linket, valamint a Facebook-os terjesztésért felelő kódot).

A Nigelthorn emellett egy szabadon hozzáférhető kriptobányász programot is letölt, amellyel a böngészőn keresztül bányászhat Monero, Bytecoin és Electroneum nevű kriptopénzeket. Ez természetesen jelentősen rontja a számítógép teljesítményét, a processzor kihasználtsága 100% környékére kerülhet. A szakértők szerint a támadóknak hat nap alatt közel 300.000 forintot sikerült összegyűjteniük (leginkább Monero formájában).

A malware önsokszorosítást is végez. A szükséges adatok begyűjtése után továbbterjeszti magát az áldozat közösségi oldalán. A kártékony hivatkozás megnyitásakor a fertőzés egy újabb véletlenszerű ismerősnek továbbítja az üzenetet. A terjedést tehát nem egyszerű megállítani.

Azt sem szabad elfelejteni, hogy a vírus az áldozatok Facebook-os bejelentkezési adatait és az Instagramhoz tartozó sütiadatait is megpróbálja megszerezni. Ha az valahol áldozat megadja ezeket az adatokat, azonnal eljutnak a támadók szervereire.

A Facebook vírusok nem tágítanak

Egyértelmű, hogy a Facebookon terjedő vírusok egyhamar nem fognak megszűnni, hiszen rendkívül sikeresen veszik rá a felhasználókat a kártékony hivatkozások megnyitására. A közelmúltbeli Stresspaint és FacexWorm fertőzésekből is látszik, hogy a támadók újabb és újabb módszerekkel kerülik meg a biztonsági rendszereket. Fontos tehát, hogy a felhasználók rendkívüli óvatossággal nyisság meg a kapott linkeket – még akkor is, ha megbízhatónak tűnnek és ismerőstől érkeztek.