網(wǎng)絡安全公司趨勢科技(Trend Micro)的研究人員在谷歌Chrome瀏覽器中發(fā)現(xiàn)了一個惡意擴展程序��,它使用多種方法從受感染的用戶那里竊取和挖掘加密貨幣����。
趨勢科技稱為“FacexWorm”的惡意軟件通過Facebook Messenger進行的社交工程策略侵入受害者的瀏覽器。一個目標會收到一個鏈接����,彈出一個虛假的YouTube頁面,提示用戶安裝擴展程序以播放視頻�����。一旦安裝了擴展程序,它就會被編程為劫持用戶的Facebook賬號并將其鏈接傳播到他們的朋友列表中����。
FacexWorm似乎是面向加密貨幣惡意軟件的“瑞士軍刀”���,包含多種可能性����。據(jù)趨勢科技稱����,惡意擴展具有各種功能:
如果受感染用戶嘗試登錄谷歌,MyMonero或Coinhive����,F(xiàn)acexWorm將攔截憑證。
當受害者試圖訪問一組指定的加密貨幣交易平臺時��,他們會被重定向到一個要求少量Ether的騙局網(wǎng)站��,表面上用于驗證目的����。
如果FacexWorm檢測到用戶處于加密貨幣交易頁面�����,則擴展程序將用戶輸入的錢包地址替換為攻擊者的另一個地址��。趨勢科技表示����,目標貨幣包括比特幣��、比特幣黃金��、比特幣現(xiàn)金���、Dash��,以太幣����,Ethereum Classic�����、瑞波幣,萊特幣�����,Zcash和Monero���。
試圖訪問某些網(wǎng)站會將受害者重定向到獎勵攻擊者的推薦鏈接����。
當然����,F(xiàn)acexWorm還有一個加密組件����,使用受害者的處理器來挖掘加密貨幣。
趨勢科技稱���,如果受影響的用戶似乎試圖刪除惡意插件���,還可以阻止它們。如果用戶嘗試打開Chrome的擴展管理頁面���,惡意軟件將簡單關閉該選項卡���。
據(jù)報道����,F(xiàn)acexWorm去年首次出現(xiàn)。但它在第一次迭代中似乎是面向廣告軟件的�����,并且在趨勢科技上個月發(fā)現(xiàn)它之前一直非?�;钴S����。
根據(jù)攻擊者的數(shù)字錢包地址�����,只有FacexWorm發(fā)現(xiàn)了一個比特幣交易被入侵的例子���,但是沒有辦法確定攻擊者實際獲利的多少���。
研究人員說,攻擊者一直在試圖將更多受FacexWorm感染的擴展程序上傳到Chrome網(wǎng)上應用店,但Google正在主動將其刪除�����。趨勢科技稱Facebook與其建立了合作伙伴關系��,它采用自動化措施來檢測不良鏈接并阻止其傳播����。
