Криптовалютный майнер распространяется с помощью мессенджера Facebook

Эксперты по безопасности Trendlabs сообщили о новом боте-майнере криптовалюты Monero, который использует для своего распространения мессенджер соцсети Facebook и браузер Chrome.
thumb
Первый этап внедрения вредоноса – пересылка файла жертве в сообщении от одного из его контактов в мессенджере соцсети. Опасный файл имеет название «video_ХХХХ» (вместо Х могут стоять любые цифры) и расширение zip. Невнимательные и неопытные пользователи принимают его за видео, а в случае попытки открыть файл, компьютер заражается.

Вредонос написан на сценарном языке AutoIt и имеет довольно простой код, обусловленный минимальной функциональностью. Все, что делает Digmine после запуска – связывается с C&C-сервером, загружает компоненты и производит по команде установку майнера и расширения в браузер Хром.

Установка аддона происходит с помощью параметров командной строки, что позволяет обойти существующее ограничение в Chrome на установку только из WebStore. Именно расширение Хрома и производит дальнейшее размножение вредоноса, используя учетную запись соцсети пострадавшего. Не секрет, что многие пользователи хранят логины и пароли от Facebook в браузере, а это позволяет малвару автоматически рассылать себя по списку контактов.

Впервые Digmine был обнаружен в Южной Корее, затем его деятельностью были затронуты пользователи еще в ряде стран – Украине, Таиланде, Филиппинах, Азербайджане и Венесуэле. По имеющейся информации, разработчики Facebook пытаются бороться с вредоносом, но информации о полной победе пока нет.