A causa di quanto è popolare tra gli utenti di tutto il mondo, Facebook è stato spesso sfruttato in varie truffe e attacchi di malware. La piattaforma sociale è regolarmente abusato da criminali informatici che lo utilizzano per diffondere i loro carichi utili tramite link dannosi nei messaggi.
L'ultimo caso del genere coinvolge diverse estensioni di Chrome legittimamente alla ricerca che diffondono il malware Nigelthorn e sono state attive almeno dal marzo di quest'anno. Secondo Radware ricercatori, più di 100,000 gli utenti sono già stati infettati dal malware disperso durante l'attacco descritto.
Di più sulla campagna Nigelthorn Malware
A Maggio 3, 2018, ricercatori Radware rilevata una minaccia di malware zero-day in una delle sue clienti, una società di produzione globale. “Questa campagna di malware si propaga tramite collegamenti di ingegneria sociale su Facebook e sta infettando gli utenti abusando un estensione di Google Chrome (l'applicazione ‘Nigelify’) che esegue il furto delle credenziali, cryptomining, clic fraudolenti e molto altro ancora,”Hanno spiegato i ricercatori.
Il malware in questione è stata soprannominata Nigelthorn, e si sta diffondendo rapidamente in tutto le vittime tramite link su Facebook. Questi link portano a estensioni del browser maligni che mirano a rubare le credenziali di login di Facebook, Nel frattempo l'installazione minatori criptovaluta e coinvolgere gli utenti in click fraud.
Apparentemente, Nigelthorn ha utilizzato almeno sette estensioni del browser Chrome che sono stati ospitati con successo sul Chrome Web Store. ricercatori Radware sono stati i primi a scoprire tre di quelle estensioni maligni dopo che uno dei loro clienti è stata compromessa.
Perché il malware soprannominato Nigelthorn?
Come spiegato dall'originale, i nomi deriva dal fatto che l'applicazione originale Nigelify sostituisce le immagini a “Nigel Thornberry” ed è responsabile di una gran parte delle infezioni osservate. Per quanto riguarda la catena di infezione, il malware reindirizza vittime di una falsa pagina di YouTube e chiede loro di installare un estensione Chrome per riprodurre il video.
Una volta che l'utente fa clic su “Aggiungi Extension,”L'estensione dannoso è installato e la macchina è ora parte della botnet. Il malware dipende da Chrome e funziona sia su Windows e Linux. E 'importante sottolineare che la campagna si concentra sul browser Chrome e Radware ritiene che gli utenti che non utilizzano Chrome non sono a rischio.
Qual è il malware in grado di Nigelthorn?
Il malware si concentra principalmente sulla raccolta credenziali di Facebook e gli account di accesso Instagram. In aggiunta, raccoglie anche informazioni dai profili Facebook compromessi. Non sorprende, le informazioni rubate vengono poi utilizzate per diffondere ulteriormente link malevoli che conducono alle estensioni canaglia agli amici dell'utente infettato. Dal momento che gli utenti spesso cadono per questa tecnica dannoso, la distribuzione di malware può andare avanti all'infinito.
Oltre a ottenere le credenziali dell'utente, il malware è progettato anche per scaricare basata su browser criptovaluta minatore nella forma di un plugin. Una volta installato, il plugin inizia l'estrazione del Monero, Bytecoin o cryptocurrencies Electroneum. Entro 6 giorni, gli operatori del Nigelthorn generati $1,000 in crypto, per lo più Monero.
La parte peggiore è che il malware sembra essere abbastanza persistente e tenta di impedire agli utenti di rimuovere le estensioni dannosi. Si chiude automaticamente la scheda di estensione ogni volta che la vittima apre, ottenendo così nel modo di sua rimozione. Per di più, il malware blacklist diversi strumenti di clean-up di Facebook e Google e impedisce vittime di apportare modifiche, cancellare i messaggi e fare commenti.
Ecco l'elenco delle estensioni diffondono il malware Nigelthorn:
- Nigelify
- PwnerLike
- Alt-j
- Fix-caso
- Divinità 2 Original Sin: Wiki Popup Abilità
- Keeprivate
- iHabno
Per fortuna, Google è stato in grado di rimuovere tutti loro dal Chrome Web Store. Ciò nonostante, se siete stati ingannati da un link e finì l'installazione di una delle estensioni elencate, si dovrebbe immediatamente disinstallarlo. Si dovrebbe anche modificare le password per gli account di Facebook e Instagram.
In aggiunta, si dovrebbe considerare la scansione del sistema tramite software anti-malware per assicurarsi che esso sia esente da minacce informatiche.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter