FacexWorm се разпространява през Facebook Messenger, краде потребителски имена и пароли

Червеят инсталира Chrome Extension с механизъм за защита от инсталиране

Последен ъпдейт на 28 юни 2018 в 13:09 ч.

Модификация на червея FacexWorm се разпространява през Facebook Messenger. Основна цел на зловредния код са потребителите на платформи за търговия на криптовалути.

Червеят се разпространява посредством съобщения с линкове във Facebook Messenger. При клик върху линка се отваря фалшиво копие на YouTube, което инсталира FacexWorm Chrome Extension.

Фалшивото копие на YouTube, което се опитва да инсталира заразеното прилжение

След инсталацията и предоставянето на необходимите позволения за достъп до информация, следва инсталирането на JavaScript от команден сървър – и следене за допълнителни команди.

Червеят може да разпрати и подобни фалшиви линкове към контактите на вече заразения потребител, чийто статус в Messenger е онлайн или idle.

Паралелно, FacexWorm краде данни за достъп до определени уебсайтове (Google, MyMonero и Coinhive) като инжектира функция, препращаща потребителско име и парола за достъп при попълването на логин форми в съответните сайтове.

Приложението има и механизъм за защита, който предотвратява деинсталирането му. При отварянето на страницата с инсталираните приложения (chrome://extensions/), тя се затваря автоматично.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Exit mobile version