Nutzer des Facebook-Messenger stehen im Fokus der Digmine Malware. Diese benutzt den Messenger, um einen Crypto-Miner auf den Systemen der Opfer zu installieren und deren Rechenkapazität für sich zu nutzen.
Anzeige
Benutzer in mehreren Ländern werden in einer Kampagne angesprochen, die eine neue Variante der Malware namens Digmine verbreitet. Es handelt sich um einen Monero-Miner, der Krypto-Geld schürft und eine bösartige Chrome-Erweiterung installiert, mit deren Hilfe er sich an neue Opfer weiterverbreiten kann.
Die Malware verbreitet sich über Facebook Messenger, die offizielle Instant Messaging-Plattform von Facebook. Das berichtet Bleeping Computer in diesem Beitrag.
Opfer erhalten in der Regel eine Datei namens video_xxxxxx.zip (wobei xxxx eine vierstellige Zahl ist) per Messenger zugestellt. Das ZIP-Archiv enthält kein Video, sondern eine EXE-Datei. Benutzer, die unvorsichtig genug sind, um die Datei zu starten, werden mit Digmine infiziert.
Digminer ist in AutoIt geschrieben und hat nur wenige Funktionen, außer einen Remote Command and Control (C&C) Server für Anweisungen zu kontaktieren. Ein südkoreanischer Sicherheitsforscher namens c0nstant und Experten von Trend Micro sagen, dass der C&C-Server derzeit nur den Monero-Miner und eine Chrome-Erweiterung an die Opfer zurückschickt.
Anzeige
Digminer fügt auch einen registrierungsbasierten Autostart-Mechanismus in Windows hinzu und installiert dann den Monero Miner und die Chrome-Erweiterung, die er gerade erhalten hat.
Normalerweise können Chrome-Erweiterungen nur aus dem offiziellen Chrome Web Store geladen werden, aber in diesem Fall installieren die Angreifer die bösartige Erweiterung über einen cleveren Trick, der die Befehlszeilenparameter der Chrome-Anwendung verwendet.
Trend Micro hat Facebook kontaktiert, die die Links auf das ZIP-Archiv gelöscht haben. Aber die Digmine Crew kann die aktuellen Distributionslinks leicht ändern und eine neue Kampagne starten. Weitere Details finden sich bei Bleeping Computer.
Anzeige