Facebook es conocido por todos como una de las redes sociales más populares del mundo. Es por ello que cuando hay una campaña de malware afecta a muchos usuarios. Hoy estamos ante una de estas noticias. Esta nueva variedad se denomina Digmine, y es un malware que se distribuye a través de Facebook Messenger. Esta es, como sabemos, la plataforma de mensajería instantánea oficial de Facebook. Cuenta con usuarios en las diferentes plataformas tanto para ordenador como para dispositivos móviles.
DIGMINE, NUEVA CAMPAÑA DE MALWARE DE FACEBOOK
Digmine instala un minero de criptomonedas Monero en el equipo de la víctima. Además introduce una extensión maliciosa para el navegador Google Chrome. Esto le ayuda a propagarse a más víctimas.
Como sabemos, la minería de criptomoendas es uno de los tipos de malware que más está aumentando últimamente. Los ciberdelincuentes utilizan los dispositivos de los usuarios para minar estas monedas digitales que están tan en auge. Esto afecta directamente al rendimiento de estos equipos, además de que pueden reducir la vida útil de los dispositivos por sobrecalentamiento.
Además, el hecho de que ataquen a Google Chrome e introduzcan una extensión maliciosa en este navegador no es casualidad. Se trata del más utilizado en las diferentes plataformas. Tienen ahí un gran número de usuarios a los que infectar.
FALSO VÍDEO
Las víctimas generalmente reciben un archivo llamado video_xxxx.zip (donde xxxx es un número de cuatro dígitos) que intenta hacerse pasar como un archivo de video. El archivo oculta un EXE. Los usuarios descuidados que ejecuten este archivo se infectarán con Digmine.
Un investigador de seguridad de Corea del Sur llamado c0nstant y expertos de Trend Micro dicen que, actualmente, el servidor envía a las víctimas un minero de Monero y una extensión de Chrome.
Digminer también agrega un mecanismo de inicio automático basado en el registro, y luego instala el minero de Monero y la extensión de Chrome que acaba de recibir.
Normalmente, las extensiones de Chrome solo se pueden cargar desde Chrome Web Store, la página oficial, pero en este caso los atacantes están instalando la extensión maliciosa mediante un ingenioso truco que utiliza los parámetros de la línea de comandos de la aplicación Chrome.
La función de la extensión es acceder al perfil de Facebook Messenger del usuario y enviar mensajes privados a todos los contactos de la víctima. Este mensaje contiene un video_xxxx.zip similar.
El mecanismo de autopropagación utilizado por esta extensión de Chrome solo funciona si Chrome inicia automáticamente la sesión de usuarios en sus cuentas de Facebook. Si el usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no funcionará, ya que no podrá llegar a la interfaz de Facebook Messenger para enviar sus mensajes de correo no deseado.
Los investigadores han descubierto que los atacantes utilizan archivos EXE. Esto significa que solo los usuarios de Windows son actualmente objetivo, pero no los usuarios de Linux o Mac. Al parecer, la campaña se dirigió primero a los usuarios de Corea del Sur, pero desde entonces se ha extendido a otros países como Vietnam, Azerbaiyán, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.