Pesquisadores de segurança da Trend Micro alertaram recentemente para o malware FacexWorm, que infecta os PCs das vítimas para roubar senhas e criptomoedas, enviar spam para outros usuários do Facebook e minerar criptomoedas.
Malware FacexWorm
Detectado no final de abril pela Trend Micro, o malware FacexWorm primeiro chega como um link no Facebook Messenger que redireciona o usuário para uma página falsa do YouTube. Esta página por sua vez tenta enganar o usuário para que ele instale uma extensão maliciosa para o navegador Google Chrome:
A Trend Micro analisou a extensão e encontrou diversas funções maliciosas. Uma delas faz com que a extensão adicione um código ao navegador que visa roubar credenciais de login do usuário.
Este comportamento não está disponível para todos os sites, mas apenas quando o usuário acessa contas do Google, Coinhive ou MyMonero. As credenciais de login roubadas são então enviadas para os servidores do malware FacexWorm.
A extensão também redireciona o usuário para uma página que basicamente é um golpe visando obter criptomoedas para os criminosos:
Quando o usuário é redirecionado para esta página, é pedido que ele envie uma quantia em criptomoeda para verificar sua conta.
O redirecionamento para esta página ocorre apenas quando o usuário tenta acessar sites relacionados a criptomoedas ou quando a URL inclui termos como “eth”, “ethereum”, ou “blockchain”. A extensão maliciosa traz uma lista com 52 sites e quando o usuário tenta acessar um deles o redirecionamento ocorre.
Além disso, a extensão também instala e executa uma instância do script Coinhive para minerar a criptomoeda Monero para os criminosos.
Mais detalhe sobre o malware podem ser encontrados no post publicado no blog da Trend Micro.
O post Novo malware FacexWorm se espalha via Facebook Messenger e como extensão para o Google Chrome apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br