Malware Facebook Messenger Facexworm

Desde hace un buen tiempo, Facebook Messenger se ha convertido en un medio ideal para que los hackers hagan de las suyas, sobre todo por la inmensa cantidad de usuarios registrados en la red social de Mark Zuckerberg.

A finales del año pasado, informamos acerca de Digmine, un malware que se propagaba a través de la aplicación de mensajería, instalando un minero de la criptomoneda Monero y una extensión maliciosa que le permitía propagarse y llegar a nuevas víctimas.

Ahora, los usuarios de Facebook Messenger han comenzado a padecer nuevamente de un tipo de ataque similar, y es que la firma de seguridad informática Trend Micro ha identificado una forma de malware que utiliza mensajes falsos en Messenger para robar contraseñas y criptomonedas.

Su nombre es FacexWorm, y fue descubierto por primera vez en agosto de 2017, cuando a través de mensajes de phishing dirigía a los usuarios de Facebook Messenger a versiones falsas de sitios web con la finalidad de que descargasen una extensión maliciosa de Google Chrome.

¿Cómo ocurre el ataque con FacexWorm?

A través de una publicación en su blog, Trend Micro afirmó que muchas de las capacidades de FacexWorm han sido rediseñadas por completo, ya que ahora el malware es capaz de robar contraseñas de cuentas de sitios web y casas de cambio o carteras de criptomonedas.

Los investigadores revelaron que el ataque inicia a través del envío de un mensaje a un usuario que proviene de uno de sus amigos en Facebook. Este mensaje contiene un enlace que dirige a las víctimas hacia una página falsa de YouTube, la cual le solicita al usuario instalar un códec para reproducir el video, que al ser ejecutado instalará FacexWorm, que solicitará permisos de acceso y cambiará los datos.

Posteriormente, el malware accederá al Facebook de la víctima y enviará muchos más enlaces de YouTube falsos a todos los contactos para propagar aún más el malware.

Asimismo, se conoció que FacexWorm busca palabras clave como ‘blockchain’ o ‘ethereum’ en las URL’s con el fin de precisar y atacar a los usuarios de casas de cambio de criptomonedas, enviándolos a un sitio web falso que le solicita al usuario enviar entre 0.5 y 10 ethers (criptomoneda de la red Ethereum) para supuestamente verificar la dirección de la cartera y promete que devolverá más criptomonedas.

Asimismo, los hackers utilizan FacexWorm para ganar criptomonedas mediante enlaces de referencia que les reportan ganancias cuando el usuario hace una compra, y a través de un minero que instala en la CPU de las víctimas y que utiliza el 20% del hardware. Los investigadores suponen que el bajo porcentaje de consumo de la CPU se debe a que los hackers no desean que el minero sea detectado.

Por su parte, Facebook dijo en un comunicado que sus sistemas automatizados están en constante mantenimiento para evitar este tipo de enlaces maliciosos, sin embargo, no ha hecho mucho por proteger a los usuarios, ya que el malware continúa propagándose a través de la aplicación de mensajería. La única recomendación de Trend Micro para que los usuarios se protejan es evitar compartir mensajes sospechosos o que no conocen.

Más en TekCrispy