Digmine Malware Facebook Messenger

Los usuarios de varios países están siendo seleccionados en una campaña que ofrece una nueva forma de malware llamada Digmine, que instala un minero de criptomonedas Monero y una extensión de Google Chrome maliciosa que le permite propagarse y llegar a nuevas víctimas El malware se propaga a través de Facebook Messenger, la plataforma oficial de mensajería instantánea de Facebook.

Difusión de Digmine vía Facebook Messenger

Las víctimas suelen recibir un archivo llamado video_xxxxxx. zip (donde xxxx es un número de cuatro dígitos) que intenta presentarse como archivo de vídeo.  El archivo oculta un archivo EXE.  Los usuarios suficientemente descuidados al ejecutar el archivo serán afectados con Digmine.

Lo cierto, es que Digminer está escrito en AutoIt y tiene pocas características excepto contactar con un servidor remoto de comando y control (C&C) para obtener instrucciones.  Un investigador de seguridad surcoreano llamado Constant y expertos de la firma de seguridad Trend Micro dicen que, actualmente, el servidor C&C instala un minero de Monero y una extensión de Chrome.

Digminer también añade un mecanismo de autoarranque basado en el registro, y luego instala el minador Monero y la extensión de Chrome que acaba de recibir.  Normalmente, las extensiones de Chrome sólo se pueden cargar desde la tienda web oficial de Chrome, pero en este caso, los atacantes están instalando la extensión maliciosa a través de un truco inteligente que usa los parámetros de la línea de comandos de la aplicación Chrome.

Facebook muestra publicidad sobre "curas para homosexuales" a personas de la comunidad LGBT

El mecanismo de autopropagación utilizado por esta extensión de Chrome sólo funciona si los usuarios de Facebook tienen sesión iniciada en el navegador de Google. Si el usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no funcionará, ya que no podrá acceder a la interfaz de Facebook Messenger para enviar sus mensajes spam.

Los investigadores han detectado a los hackers enviando archivos EXE, lo que significa que sólo los usuarios de Windows son el objetivo actual, pero no los usuarios de Linux o Mac. La campaña parece haber sido dirigida inicialmente a los usuarios surcoreanos, pero desde entonces se ha extendido a Vietnam, Azerbaiyán, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.

Facebook intervino

Trend Micro dijo que se comunicaron con Facebook. La red social eliminó los enlaces maliciosos de las conversaciones de Messenger, pero la realidad es que el equipo de Digmine puede cambiar fácilmente los enlaces de distribución actuales y comenzar una nueva campaña.

Más en TekCrispy