Féreg terjed a Facebookon

A FacexWorm féreg a Facebook mellett a YouTube, valamint a Google Chrome ismertségét is kihasználja. A célja, hogy minél több kriptopénzzel tömje meg a terjesztői zsebét.
 

A Facebookon időről időre felbukkannak olyan spamkampányok, amelyek során a felhasználók kéretlen (ugyanakkor sokszor igencsak megtévesztő) üzeneteket kapnak a Messengeren keresztül. Ilyen támadási hullám okozott szélesebb körű problémákat tavaly augusztusban, majd 2017 év végén is. A Trend Micro kutatói a legújabb, FacexWorm nevű féreg felfedezését, majd elemzését követően arra a következtetésre jutottak, hogy ennek a szerzemények is köze lehet a tavalyi incidensekhez, ugyanakkor most már összetettebb módon okoz károkat.
 
Így fertőz a féreg
 
A FacexWorm - ahogy a neve is sugallja - Facebook üzenetekben terjed, leginkább a Messengeren keresztül. Ehhez olyan üzeneteket generál, amelyek egy hivatkozást is tartalmaznak. Amikor erre a felhasználó rákattint, akkor egy hamis YouTube oldal jelenik meg a webböngészőben. Mivel a FacexWorm jelenlegi variánsa a Google Chrome webböngészővel kompatibilis, ezért ha a felhasználó a Google böngészőjét használja, akkor a hamis YouTube oldalon egy szintén hamis YouTube kiegészítő telepítésére buzdítják. Ha engedélyezi a bővítmény telepítését, akkor onnantól kezdve már minden a háttérben történik.  
Nem egy egyszerű kiegészítő
 
A FacexWormot megtestesítő böngészőbővítmény meglehetősen összetett működésre képes, és ennek megfelelően többféle módon is képes elősegíteni a támadók céljainak megvalósulását. Először összegyűjti, és kiszivárogtatja a felhasználó által a Chrome segítségével elmentett bejelentkező adatokat. Azonban nem minden adatot tölt fel a vírusterjesztők távoli szerverére, hanem leginkább azokat, amik Google, Coinhive vagy MyMonero fiókokhoz kapcsolódnak.
 
Ezt követően folyamatosan monitorozza a felhasználó által megtekintett weblapokat, és egy URL-lista alapján (ami jelenleg 52 webcímet tartalmaz) átirányításokat hajt végre. A kutatók szerint a címlistából arra lehet következtetni, hogy ilyen nemkívánatos átirányításra akkor kerül sor, ha a felhasználó kriptopénzzel kapcsolatos weboldalakat nézeget. Ilyenkor egy weblap jelenik meg, ami közli, hogy ellenőrzési célokból némi Ethert kell átküldeni az oldalon megadott címre.
 
A FacexWorm további veszélyes jellemzője, hogy kriptopénzekkel kapcsolatos tranzakciók manipulálására is alkalmas, amivel közvetlen anyagi kárt okozhat az áldozatai számára. A Trend Micro vizsgálatai alapján elmondható, hogy Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), valamint Monero (XMR) tranzakciókat is kompromittál, aminek során lecseréli a fogadó fél címét.
 
A biztonsági cég már értesítette a Google-t, valamint a Facebookot a felfedezéséről. A Facebook a FacexWormhoz köthető URL-eket elkezdte blokkolni, míg a Google a problémás Chrome bővítményt tiltotta le a Chrome internetes áruházában.