FacexWorm се разпространява през Facebook Messenger, краде потребителски имена и пароли
Червеят инсталира Chrome Extension с механизъм за защита от инсталиране
Последен ъпдейт на 28 юни 2018 в 13:09 ч.
Модификация на червея FacexWorm се разпространява през Facebook Messenger. Основна цел на зловредния код са потребителите на платформи за търговия на криптовалути.
Червеят се разпространява посредством съобщения с линкове във Facebook Messenger. При клик върху линка се отваря фалшиво копие на YouTube, което инсталира FacexWorm Chrome Extension.
След инсталацията и предоставянето на необходимите позволения за достъп до информация, следва инсталирането на JavaScript от команден сървър – и следене за допълнителни команди.
Червеят може да разпрати и подобни фалшиви линкове към контактите на вече заразения потребител, чийто статус в Messenger е онлайн или idle.
Паралелно, FacexWorm краде данни за достъп до определени уебсайтове (Google, MyMonero и Coinhive) като инжектира функция, препращаща потребителско име и парола за достъп при попълването на логин форми в съответните сайтове.
Приложението има и механизъм за защита, който предотвратява деинсталирането му. При отварянето на страницата с инсталираните приложения (chrome://extensions/), тя се затваря автоматично.