Thu hút người dùng trên mạng xã hội truy cập vào phiên bản giống như các trang web phổ biến qua những cửa sổ được cài đặt như những tiện ích mở rộng hợp pháp của Chrome là một trong những hoạt động phổ biến nhất của tội phạm mạng để lây lan phần mềm độc hại
Các nhà nghiên cứu bảo mật một lần nữa cảnh báo người dùng về một chiến dịch phần mềm độc hại mới đã hoạt động từ ít nhất là tháng 3 năm nay và đã lây nhiễm cho hơn 100.000 người dùng trên toàn thế giới.
Đó là Nigelthorn, phần mềm độc hại đang lan truyền nhanh chóng thông qua các liên kết được thiết kế trên mạng xã hội Facebook và lây nhiễm tới các hệ thống của nạn nhân bằng các tiện ích mở rộng trình duyệt độc hại; lấy cắp thông tin đăng nhập mạng xã hội của họ, cài đặt các mã độc đào tiền ảo và thực hiện quảng cáo lừa đảo.
Phần mềm độc hại được lây nhiễm qua ít nhất bảy tiện ích mở rộng trình duyệt Chrome khác nhau — tất cả đều được lưu trữ trên Cửa hàng Chrome trực tuyến chính thức của Google.
Những phần mở rộng trình duyệt Chrome độc hại này lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại công ty bảo mật mạng Radware, sau một “mạng lưới được bảo vệ tốt” của một trong những khách hàng, một công ty sản xuất toàn cầu đã bị xâm phạm.
Theo một báo cáo được phát hành bởi Radware, những kẻ khai thác phần mềm độc hại đang sử dụng các bản sao của các tiện ích mở rộng hợp pháp của Google Chrome và chèn một tập lệnh độc hại ngắn vào chúng để bỏ qua các kiểm tra xác thực mở rộng của Google.
Các nhà nghiên cứu đã đặt tên phần mềm độc hại là “Nigelthorn” sau khi một trong những phần mở rộng độc hại là bản sao của phần mở rộng phổ biến ‘Nigelify’ được thiết kế để thay thế tất cả các hình ảnh trên một trang web với gifs của ‘Nigel Thornberry’.
Nigelthorn được lan truyền thông qua các liên kết trên Facebook
Nigelthorn đang lan truyền thông qua các liên kết trên Facebook. Nếu người dùng nhấp vào những liên kết này sẽ chuyển hướng nạn nhân đến trang YouTube giả mạo, yêu cầu họ tải xuống tiện ích mở rộng độc hại của Chrome để tiếp tục phát video.
Sau khi cài đặt, phần mở rộng sẽ thực hiện một mã JavaScript độc hại khiến cho máy tính của nạn nhân trở thành một phần của một botnet.
Một phần mềm độc hại tương tự, được gọi là Digimine, nổi lên năm ngoái cũng đã làm việc bằng cách gửi các liên kết qua Facebook Messenger và cài đặt phần mở rộng độc hại, qua đó cho phép kẻ tấn công truy cập vào hồ sơ Facebook của nạn nhân và lây lan cùng một phần mềm độc hại đến danh sách bạn bè của họ qua Messenger.
Gần đây, chúng tôi đã viết về một chiến dịch phần mềm độc hại tương tự khác, được gọi là FacexWorm, cũng được phân phối bằng cách gửi các liên kết qua Facebook Messenger và chuyển hướng người dùng đến trang YouTube giả mạo, yêu cầu họ cài đặt tiện ích mở rộng độc hại của Chrome.
NigelThorn đánh cắp mật khẩu của tài khoản Facebook và Instagram
Phần mềm độc hại mới tập trung vào việc đánh cắp thông tin đăng nhập tài khoản Facebook và Instagram của nạn nhân và thu thập thông tin chi tiết từ tài khoản Facebook của họ.
Thông tin bị đánh cắp sau đó sẽ được sử dụng để gửi các liên kết độc hại đến bạn bè của người bị nhiễm với mục đích phát tán các phần mở rộng độc hại tương tự. Nếu bất kỳ ai trong số những người bạn đó nhấp vào liên kết, toàn bộ quá trình lây nhiễm sẽ bắt đầu lại.
NigelThorn cũng tải xuống một công cụ khai thác tiền ảo dựa trên trình duyệt công khai như một plugin để kích hoạt các hệ thống bị nhiễm bắt đầu khai thác tiền ảo bao gồm Monero, Bytecoin hoặc Electroneum.
Trong thời gian chỉ 6 ngày, những kẻ tấn công dường như tạo ra khoảng 1.000 đô la tiền ảo, chủ yếu là Monero.
Nigelthorn cũng hoạt động liên tục để ngăn người dùng xóa các phần mở rộng độc hại, nó tự động đóng tab mở rộng độc hại mỗi khi người dùng mở chúng để ngăn chặn việc loại bỏ.
Phần mềm độc hại cũng liệt kê một loạt các công cụ dọn dẹp được cung cấp bởi Facebook và Google; thậm chí ngăn người dùng thực hiện chỉnh sửa, xóa bài đăng và đưa ra nhận xét.
Danh sách tiện ích mở rộng độc hại của Chrome
Dưới đây là tên của tất cả bảy tiện ích mở rộng giả mạo như là tiện ích mở rộng hợp pháp:
– Nigelify
– PwnerLike
– Alt-j
– Fix-case
– Divinity 2 Original Sin: Wiki Skill Popup
– Keeprivate
– iHabno
Mặc dù Google đã xóa tất cả các tiện ích mở rộng được liệt kê ở trên, nếu bạn đã cài đặt bất kỳ tiện ích mở rộng nào, bạn nên gỡ cài đặt ngay lập tức và thay đổi mật khẩu cho Facebook, Instagram cũng như cho các tài khoản khác mà bạn đang sử dụng cùng thông tin đăng nhập.
Vì các chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng trang web mạng xã hội.
Nguồn: thehackernews