Cuidado con FacexWorm: Malware de Minería de cifrado

Las redes sociales, como Facebook, son utilizadas generalmente por los piratas informáticos para distribuir malware mediante todo tipo de engaños debido al alcance que tienen las publicaciones en estas. En muchos casos invitan a ver un vídeo o leer una noticia interesante y, al entrar en dicho enlace, se cae en la trampa creada por piratas informáticos para distribuir malware. Así es como  infecta el malware FacexWorm.

Expuesto por primera vez en agosto de 2017, el malware inicialmente usó Facebook Messenger para enviar enlaces maliciosos que, cuando se hacía clic en ellos, proporcionaban al atacante acceso a las cuentas de Facebook de los usuarios y al mismo tiempo infectaban sus sistemas operativos. FacexWorm resurgió a principios de abril de este año.

De este modo, la empresa de Ciberseguridad Trend Micro ha señalado que Cyber Safety Solutions identificó una extensión maliciosa de Chrome llamada FacexWorm, que envía enlaces a todas las personas en la lista de víctimas. A su vez, advierte que las capacidades de la extensión maliciosa FacexWorm, “fueron hechas para robar credenciales de usuario para Google, MyMonero y Coinhive, también tiene la capacidad de secuestrar transacciones de criptomonedas en una variedad de intercambios importantes, incluidos Poloniex, HitBTC, Bitfinex, Ethfinex, Binance además de la cartera criptográfica Blockchain (anteriormente Blockchain.info)”

De tal modo, que este malware, promueve una estafa que engaña a los usuarios para que envíen ether a la billetera del atacante y agota el poder de procesamiento de una computadora para impulsar la extracción clandestina de criptomonedas.

Trend Micro advierte que FacexWorm,  “Utiliza una mezcla de técnicas para apuntar a las plataformas de comercio de criptomoneda a las que se accede desde un navegador afectado y se propaga a través de Facebook Messenger”, al mismo tiempo, apuntó que “descubrió una transacción de Bitcoin afectada, pero no ha identificado el valor del botín obtenido de la criptografía”. Parece que no hay posibilidad de recuperar el dinero una vez que se complete la transacción. Sin embargo, por suerte, la empresa hasta ahora ha encontrado solo una transacción de Bitcoin comprometida por el malware.

En el mismo sentido, FacexWorm no inyecta el script de minería de Monero habitual de Coinhive. En cambio, usa una versión ofuscada del código, que infecta todos los sitios web que visita la víctima. Para distribuir esta amenaza, los piratas informáticos distribuyen una serie de publicaciones en la red social promocionadas, para llegar a una mayor variedad de usuarios, así como enlaces a través de Messenger, que  lleva a una web falsa que imita la apariencia de YouTube y pide instalar una extensión en Google Chrome.

Cuando la víctima descarga e instala esta extensión, esta automáticamente empieza a descargar una serie de módulos y componentes utilizados para poder realizar todas sus tareas directamente ejecutándose desde el navegador.

Por su parte, Chrome prohibió las extensiones de minería de criptomonedas desde su tienda web a principios de abril y eliminó la extensión, dejando a los piratas informáticos con casi nada, ya que aparentemente solo lograron infectar a un pequeño número de computadoras.

Todo lo que este malware es capaz de hacer en los navegadores infectados es:

  • Roba un token OAuth de Facebook para poder distribuirse utilizando la cuenta de Facebook de la víctima.
  • Se hace con credenciales de Google, MyMonero y Coinhive cuando el usuario entra en la web de login.
  • Inyecta scripts de minado de criptomonedas en las webs.
  • Suplanta las direcciones de los monederos al realizar pagos con criptomonedas.
  • Detecta todas las búsquedas relacionadas con monederos de criptomonedas y las redirige a webs falsas desde las que robar los credenciales.
  • La extensión se cierra cuando detecta que el usuario abre el administrador de extensiones de Google Chrome para no ser detectada.
  • Genera referidos para los principales exchanges de criptomonedas.

Los expertos de seguridad de Trend Micro han demostrado que este malware ha sido capaz de suplantar un pago con Bitcoin, un pago valorado en 2,29 dólares. Sin embargo, se cree que el dinero que pueden estar ganando los piratas informáticos con las funciones de minado es infinitamente superior.

En este sentido, Trend Micro aconsejó a los usuarios “pensar antes de compartir, ser más prudentes con los mensajes no solicitados o sospechosos y permitir una configuración de privacidad más estricta para sus cuentas de redes sociales”. Por ello, es necesario tener cuidado al hacer clic en enlaces enviados por personas que no conoce y sobre las solicitudes de extensión de Chrome que aparecen en el navegador.

A su vez, evitar visitar enlaces que recibidos a través del chat hasta estar totalmente seguros de que se trata de un enlace de confianza y además evitar acceder a todas estas noticias “clicbait” que se hacen pasar por virales y utilizan engaños para hacerlos entrar a ellas. Google está eliminando todas las extensiones reportadas por Trend Micro utilizadas por los piratas informáticos en estas campañas maliciosas, sin embargo, los piratas están subiendo una y otra vez estas extensiones de nuevo, por lo que la amenaza está activa actualmente. Además, los piratas informáticos están centrando sus esfuerzos en varios países, como Alemania, Túnez, Japón, Taiwan, Korea y en España.

En caso de haber instalado la extensión por error, aunque eliminándola del navegador deberíamos volver a estar seguros, es mucho mejor realizar un borrado completo de Google Chrome, con nuestra carpeta de perfil completa, y volver a instalar el navegador por completo, evitando que uno de los módulos que descarga esta extensión pueda volver a instalarla después de borrarla.

Referencia: softzone.es, bitcoin.net.do

Descargo de responsabilidad: InfoCoin no está afiliado con ninguna de las empresas mencionadas en este artículo y no es responsable de sus productos y/o servicios. Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir.

You may also like...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *