一种新的加密货币挖掘病毒正在Facebook上传播

如果你在Facebook messenger上收到某人（或你的朋友）发送的视频链接，即使看起来很激动人心，只要不想一想就不要点击它。

配音脸蠕虫，恶意扩展使用的攻击技术于去年8月首次出现，但研究人员注意到，该恶意软件在本月早些时候重新打包了一些新的恶意功能。
新功能包括从谷歌和加密货币网站等网站窃取帐户凭据，将受害者重定向到加密货币诈骗，在网页上为挖掘加密货币注入矿工，以及将受害者重定向到攻击者的加密货币相关推荐程序的推荐链接。

这并不是第一个滥用Facebook Messenger像蠕虫一样传播的恶意软件。

去年年底，Trend Micro的研究人员发现了一个名为Digmine的Monero加密货币挖掘机器人，它通过Facebook messenger传播，目标是Windows电脑，以及用于加密货币挖掘的谷歌Chrome。
和Digmine一样，FacexWorm也通过Facebook Messenger向受影响Facebook账户的朋友发送社会工程链接，将受害者重定向到YouTube等流行视频流网站的假版本。

需要注意的是，FacexWorm扩展只针对Chrome用户。如果恶意软件在受害者的计算机上检测到任何其他网络浏览器，它会将用户重定向到外观无害的广告。

FacexWorm恶意软件是如何工作的

如果使用Chrome浏览器打开恶意视频链接，FacexWorm会将受害者重定向到伪造的YouTube页面，鼓励用户下载恶意Chrome扩展作为编解码器扩展，以继续播放视频。

一旦安装，FacexWorm Chrome extension将从其命令和控制服务器下载更多模块，以执行各种恶意任务。

研究人员说：“FacexWorm是普通Chrome扩展的克隆，但注入了包含其主要例程的短代码。当浏览器打开时，它会从C&C服务器下载额外的JavaScript代码”。

“每次受害者打开新网页时，FacexWorm都会查询其C&C服务器，以查找和检索另一个JavaScript代码（托管在Github存储库中），并在该网页上执行其行为”。

由于扩展在安装时拥有所有扩展权限，恶意软件可以访问或修改用户打开的任何网站的数据。

下面我简要介绍了FacexWorm恶意软件的功能：

• 为了像蠕虫一样进一步传播，该恶意软件为受害者的Facebook帐户请求OAuth访问令牌，然后使用该令牌自动获取受害者的朋友列表，并向他们发送恶意、虚假的YouTube视频链接。
• 当恶意软件检测到受害者已打开目标网站的登录页面时，窃取用户在谷歌、MyMonero和Coinhive的帐户凭据。
• FacexWorm还向受害者打开的网页注入加密货币矿工，利用受害者计算机的CPU能力为攻击者挖掘加密货币。
• FacexWorm甚至通过定位受害者键入的地址并用攻击者提供的地址替换来劫持用户的加密货币相关交易。
• 当恶意软件检测到用户已访问52个加密货币交易平台之一，或在URL中键入“区块链”、“eth-”或“以太坊”等关键词时，FacexWorm会将受害者重定向到加密货币骗局网页，窃取用户的数字硬币。目标平台包括Poloniex、HitBTC、Bitfinex、Ethfinex和Binance，以及钱包区块链。信息。
• 为了避免被检测或删除，FacexWorm扩展在检测到用户正在打开Chrome扩展管理页面时，会立即关闭打开的选项卡。
• 每次受害者在Binance、DigitalOcean、FreeBitco上注册帐户时，攻击者也会获得推荐奖励。进来，自由狗。co.in或HashFlare。

到目前为止，趋势科技的研究人员发现，截至4月19日，FacexWorm至少破坏了一笔比特币交易（价值2.49美元），但他们不知道攻击者从恶意网络挖掘中获得了多少收入。

FacexWorm瞄准的加密货币包括比特币（BTC）、比特币黄金（BTG）、比特币现金（BCH）、Dash（Dash）、ETH、以太坊经典（ETC）、Ripple（XRP）、Litecoin（LTC）、Zcash（ZEC）和Monero（XMR）。

德国、突尼斯、日本、台湾、韩国和西班牙都发现了FacexWorm恶意软件。但由于Facebook Messenger在全球范围内使用，恶意软件在全球传播的可能性更大。

Chrome Web Store在接到Trend Micro研究人员的通知之前已经删除了许多恶意扩展，但攻击者一直在将其上传回商店。

研究人员称，Facebook Messenger还可以检测恶意的、经过社会工程的链接，并定期阻止受影响Facebook账户的传播行为。

由于Facebook的垃圾邮件活动相当普遍，建议用户在点击社交媒体网站平台提供的链接和文件时保持警惕。