Facebook es conocido por todos como una de las redes sociales ma s populares del mundo. Es por ello que cuando hay una campaña de malware afecta a muchos usuarios. Hoy estamos ante una de estas noticias. Esta nueva variedad se denomina Digmine, y es un malware que se distribuye a través de Facebook Messenger. Esta es, como sabemos, la plataforma de mensajería instanta nea oficial de Facebook. Cuenta con usuarios en las diferentes plataformas tanto para ordenador como para dispositivos móviles.
Digmine instala un minero de criptomonedas Monero en el equipo de la víctima. Adema s introduce una extensión maliciosa para el navegador Google Chrome. Esto le ayuda a propagarse a ma s víctimas.
Como sabemos, la minería de criptomoendas es uno de los tipos de malware que ma s esta aumentando últimamente. Los ciberdelincuentes utilizan los dispositivos de los usuarios para minar estas monedas digitales que esta n tan en auge. Esto afecta directamente al rendimiento de estos equipos, adema s de que pueden reducir la vida útil de los dispositivos por sobrecalentamiento.
Adema s, el hecho de que ataquen a Google Chrome e introduzcan una extensión maliciosa en este navegador no es casualidad. Se trata del ma s utilizado en las diferentes plataformas. Tienen ahí un gran número de usuarios a los que infectar.
FALSO VÍDEO
Las víctimas generalmente reciben un archivo llamado video_xxxx.zip (donde xxxx es un número de cuatro dígitos) que intenta hacerse pasar como un archivo de video. El archivo oculta un EXE. Los usuarios descuidados que ejecuten este archivo se infectara n con Digmine.
Un investigador de seguridad de Corea del Sur llamado c0nstant y expertos de Trend Micro dicen que, actualmente, el servidor envía a las víctimas un minero de Monero y una extensión de Chrome.
Digminer también agrega un mecanismo de inicio automa tico basado en el registro, y luego instala el minero de Monero y la extensión de Chrome que acaba de recibir.
Normalmente, las extensiones de Chrome solo se pueden cargar desde Chrome Web Store, la pa gina oficial, pero en este caso los atacantes esta n instalando la extensión maliciosa mediante un ingenioso truco que utiliza los para metros de la línea de comandos de la aplicación Chrome.
La función de la extensión es acceder al perfil de Facebook Messenger del usuario y enviar mensajes privados a todos los contactos de la víctima. Este mensaje contiene un video_xxxx.zip similar.
El mecanismo de autopropagación utilizado por esta extensión de Chrome solo funciona si Chrome inicia automa ticamente la sesión de usuarios en sus cuentas de Facebook. Si el usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no funcionara , ya que no podra llegar a la interfaz de Facebook Messenger para enviar sus mensajes de correo no deseado.
Los investigadores han descubierto que los atacantes utilizan archivos EXE. Esto significa que solo los usuarios de Windows son actualmente objetivo, pero no los usuarios de Linux o Mac. Al parecer, la campaña se dirigió primero a los usuarios de Corea del Sur, pero desde entonces se ha extendido a otros países como Vietnam, Azerbaiya n, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.