มัลแวร์ ‘FacexWorm’ แพร่ผ่าน Facebook Messenger หลอกติดตั้ง Chrome Extension

Trend Micro ได้สังเกตุเห็นความเคลื่อนไหวของมัลแวร์สายพันธุ์ใหม่ที่ชื่อ ‘FacexWorm’ ที่มีการแพร่ทาง Facebook Messenger ด้วยเทคนิค Social Engineering โดยมัลแวร์มีจุดประสงค์หลายด้าน เช่น ขโมยรหัสผ่าน ขโมยเงิน Crypto รันสคริปต์ Cryptojacking และทำ Spam ต่อผู้ใช้งาน Facebook Messenger

วิธีการปฏิบัติการของมัลแวร์ตัวนี้คือ

1.ส่งสแปมลิงก์หาผู้ใช้งานทาง Facebook Messenger

2.ลิงก์ดังกล่าวจะนำไปสู่หน้า Youtube เพื่อหลอกให้ผู้ใช้ติดตั้ง Chrome Extension ที่เป็นจุดเริ่มอันตรายของจริงเข้ามา (รูปตัวอย่างด้านล่าง)

จากการวิเคราะห์ของ Trend Micro ถึง Chrome Extension พบความสามารถดังนี้

• เพิ่มโค้ดไปใน Browser ของ Chrome เพื่อขโมย Credentials จากหน้า Login Form ของเว็บที่สนใจ เช่น บัญชี Google, Coinhive และ MyMonero จากนั้นจะส่งข้อมูลที่ได้กลับไปยังเซิร์ฟเวอร์ของคนร้าย
• เมื่อผู้ใช้งานพยายามเข้าเว็บไซต์ที่เกี่ยวของกับ Cryptocurrency (มีลิสต์ประมาณ 52 เว็บไซต์ซึ่ง URLs จะประกอบด้วยคำเช่น eth, ethereum, Blackchain) มันจะ Redirect ผู้ใช้ไปยังเพจที่หลอกล่อให้ส่งเหรียญ Crypto จำนวนเล็กน้อยไปยังบัญชีที่ปรากฏ (รูปด้านล่าง)
• มีการฝัง Cryptojacking Script เพื่อขุดเหมือง
• สามารถสับเปลี่ยนข้อมูลผู้รับสำหรับ Transaction บนแพลต์ฟอร์มการแลกเปลี่ยนเงิน Crypto ให้เป็นที่อยู่ของคนร้ายได้ เช่น Poloniex, HitBTC, Bitfinex, ETHfinex, Binance และ Blockchain.info โดยข้อมูลสกุลเงินที่ทำได้คือ Bitcoin, Bitcoin cash, Bitcoin Gold, Dash, ETH, Ethereum Classic, Ripple, Litecoin, Zcash และ Monero
• ทำการ Referral URLs โดย Redirect ผู้ใช้ไปยังเพจนั้นแล้วคนร้ายได้ค่าตอบแทนจากเว็บ Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in และ HashFlare

อย่างไรก็ตามทาง Trend Micro ได้แจ้งผู้เกี่ยวข้องอย่าง Google ให้ลบ Extension และ Facebook เพื่อแบนโดเมนของมัลแวร์ที่ทำการสแปมเรียบร้อยแล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/facexworm-spreads-via-facebook-messenger-malicious-chrome-extension/