A causa de lo popular que es entre los usuarios de todo el mundo, Facebook menudo se ha aprovechado en varias estafas y ataques de malware. La plataforma social se abusa regularmente por los delincuentes que lo utilizan para difundir sus cargas útiles a través de enlaces maliciosos en mensajes.
El último de estos casos involucra varios legítimamente buscan extensiones de Chrome que se propagan malware Nigelthorn y han estado activos al menos desde marzo de este año. De acuerdo con Radware investigadores, más que 100,000 usuarios ya han sido infectados por el malware dispersa en el ataque descrito.
Más sobre la Campaña Nigelthorn malware
En mayo 3, 2018, Radware investigadores detectaron una amenaza de malware de día cero en uno de sus clientes, una empresa de fabricación global. “Esta campaña de malware se propaga a través de enlaces de ingeniería social en Facebook y está infectando a los usuarios mediante el abuso de una extensión de Google Chrome (la aplicación ‘Nigelify’) que lleva a cabo el robo de credenciales, cryptomining, fraude de clics y más,”Explicaron los investigadores.
El malware en cuestión ha sido bautizado como Nigelthorn, y se está extendiendo rápidamente a través de las víctimas a través de enlaces en Facebook. Estos enlaces llevan a las extensiones del navegador maliciosos que tienen como objetivo robar credenciales de acceso de Facebook, Mientras tanto la instalación de los mineros criptomoneda y atraer a los usuarios en el fraude de clics.
Al parecer,, Nigelthorn ha estado usando por lo menos siete extensiones del navegador Chrome, que fueron recibidos con éxito en la Chrome Web Store. Radware investigadores fueron los primeros en descubrir tres de esas extensiones maliciosos después de uno de sus clientes fue comprometido.
¿Por qué el malware se denominó Nigelthorn?
Según lo explicado por el original, los nombres viene del hecho de que la aplicación original Nigelify reemplaza imágenes a “Nigel Thornberry” y es responsable de una gran parte de las infecciones observadas. En cuanto a la cadena de infección, el malware redirige las víctimas a una falsa página de YouTube y les pide que instale una extensión de Chrome para reproducir el vídeo.
Una vez que el usuario hace clic en “Añadir Extensión,”La extensión maliciosa está instalado y la máquina ahora es parte de la red de bots. El malware depende de Chrome y funciona tanto en Windows y Linux. Es importante destacar que la campaña se centra en los navegadores Chrome y Radware cree que los usuarios que no utilizan Chrome no están en riesgo.
¿Cuál es el programa malicioso capaz de Nigelthorn?
El software malicioso se centra principalmente en la recolección de datos de Facebook y los inicios de sesión de Instagram. Adicionalmente, que además contiene detalles de los perfiles de Facebook comprometidas. No es sorprendente, la información robada se utiliza para difundir aún más enlaces maliciosos que conducen a las extensiones sin escrúpulos para los amigos del usuario infectado. Dado que los usuarios a menudo caen en esta técnica maliciosa, la distribución de software malicioso puede continuar indefinidamente.
Además de obtener las credenciales de usuario, el malware también está diseñado para descargar basada en navegador minero criptomoneda en forma de un plugin. Una vez instalado, el plug-in comienza a minar el Monero, Bytecoin o cryptocurrencies Electroneum. Dentro 6 días, operadores del Nigelthorn generan $1,000 en cripto, sobre todo Monero.
Lo peor es que el malware parece ser bastante persistente e intenta evitar que los usuarios eliminar las extensiones maliciosos. Se cierra automáticamente la lengüeta de extensión cada vez que la víctima abre, obteniendo así en el camino de su retirada. Además de eso, el malware en lista negra a varias herramientas de limpieza por Facebook y Google y evita que las víctimas de hacer cualquier modificación, borrar mensajes y hacer comentarios.
Aquí está la lista de las extensiones de propagación del malware Nigelthorn:
- Nigelify
- PwnerLike
- Alt J
- Fix-caso
- Divinidad 2 Original Sin: Habilidad emergente wiki
- Keeprivate
- iHabno
Afortunadamente, Google fue capaz de eliminar todos ellos desde Chrome Web Store. No obstante, si usted ha sido engañado por un enlace y terminó la instalación de una de las extensiones enumeradas, debe desinstalar inmediatamente. También debe cambiar las contraseñas de sus cuentas de Facebook y Instagram.
Adicionalmente, usted debe considerar el escaneo de su sistema a través de un software anti-malware para asegurarse de que está libre de malware.
SpyHunter escáner sólo detecta la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter