网络安全公司趋势科技(Trend Micro)的研究人员在谷歌Chrome浏览器中发现了一个恶意扩展程序,它使用多种方法从受感染的用户那里窃取和挖掘加密货币。
趋势科技称为“FacexWorm”的恶意软件通过Facebook Messenger进行的社交工程策略侵入受害者的浏览器。一个目标会收到一个链接,弹出一个虚假的YouTube页面,提示用户安装扩展程序以播放视频。一旦安装了扩展程序,它就会被编程为劫持用户的Facebook账号并将其链接传播到他们的朋友列表中。
FacexWorm似乎是面向加密货币恶意软件的“瑞士军刀”,包含多种可能性。据趋势科技称,恶意扩展具有各种功能:
如果受感染用户尝试登录谷歌,MyMonero或Coinhive,FacexWorm将拦截凭证。
当受害者试图访问一组指定的加密货币交易平台时,他们会被重定向到一个要求少量Ether的骗局网站,表面上用于验证目的。
如果FacexWorm检测到用户处于加密货币交易页面,则扩展程序将用户输入的钱包地址替换为攻击者的另一个地址。趋势科技表示,目标货币包括比特币、比特币黄金、比特币现金、Dash,以太币,Ethereum Classic、瑞波币,莱特币,Zcash和Monero。
试图访问某些网站会将受害者重定向到奖励攻击者的推荐链接。
当然,FacexWorm还有一个加密组件,使用受害者的处理器来挖掘加密货币。
趋势科技称,如果受影响的用户似乎试图删除恶意插件,还可以阻止它们。如果用户尝试打开Chrome的扩展管理页面,恶意软件将简单关闭该选项卡。
据报道,FacexWorm去年首次出现。但它在第一次迭代中似乎是面向广告软件的,并且在趋势科技上个月发现它之前一直非常活跃。
根据攻击者的数字钱包地址,只有FacexWorm发现了一个比特币交易被入侵的例子,但是没有办法确定攻击者实际获利的多少。
研究人员说,攻击者一直在试图将更多受FacexWorm感染的扩展程序上传到Chrome网上应用店,但Google正在主动将其删除。趋势科技称Facebook与其建立了合作伙伴关系,它采用自动化措施来检测不良链接并阻止其传播。