FacexWorm利用Facebook Messenger散布,它化身為YouTube連結,要求使用者安裝Chrome擴充程式以播放影片,並取得存取及變更使用者所造訪網站的資料權限。

圖片來源: 

趨勢科技

趨勢科技本周披露了一個專門藉由Facebook Messenger進行散布,且主要感染Chrome瀏覽器用戶的FacexWorm惡意程式,該惡意程式鎖定的目標為近來盛行的加密貨幣,包括竊取用戶加密貨幣憑證、進行加密貨幣詐騙、誘導用戶造訪遭植入採礦程式的網頁,以及挾持加密貨幣的交易等,功能非常完善。

FacexWorm被植入於許多Chrome擴充程式中,在去年8月就被發現,但趨勢在今年4月上旬發現它更活躍了,同時出現在德國、突尼西亞、日本、台灣、南韓與西班牙等市場。

FacexWorm採用社交工程手法並利用Facebook Messenger進行散布,它化身為YouTube頁面的連結,要求使用者安裝Chrome擴充程式以播放影片,並取得存取及變更使用者所造訪網站之資料的權限。一旦使用者按下同意,FacexWorm就會自C&C伺服器下載其它惡意程式,並開啟Facebook,伺機取得用戶的友人名單,再傳遞偽造的YouTube影片連結,擴大感染範圍。

感染手法:

該惡意程式只鎖定Chrome瀏覽器,萬一遇到其它瀏覽器,使用者即會被導向廣告網頁。

成功進駐Chrome瀏覽器之後,只要使用者開啟一個新網頁,FacexWorm就會與C&C伺服器交流並展開各式的惡意行動,涵蓋竊取Google、MyMonero與Coinhive等服務的憑證;或是在使用者所造訪的網頁上注入採礦程式;若使用者開啟的是加密貨幣的交易網頁,FacexWorm就會把使用者的錢包位址置換成自己的;也會竄改使用者的路徑以讓駭客獲得特定網站的推薦獎勵。

此外,尚若使用者造訪了駭客所指定的52個加密貨幣交易平台,FacexWorm即會直接把使用者導向詐騙網頁,宣稱使用者只要匯出0.5~10個以太幣至駭客的帳號,以協助該帳號的驗證,便能獲得10倍的回饋。

趨勢表示,在接到該公司的通報前,Google已經移除了一些與FacexWorm有關的擴充程式。至於臉書也已得知FacexWorm的行動,亦已封鎖了被駭帳號的散布行為。趨勢奉勸使用者應培養良好的安全習慣,注意陌生或可疑的訊息,分享前要三思,且於社交網站上採用較嚴格的隱私設定。


Advertisement

更多 iThome相關內容