เตือนแคมเปญ Nigelthorn แพร่กระจายมัลแวร์ผ่าน Chrome Extensions และ Facebook

Radware บริษัทชั้นนำด้าน Application Delivery และ Security ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ “Nigelthorn” ซึ่งแพร่กระจายตัวผ่านทางการทำ Social Engineering บน Facebook และ Chrome Extension รวม 7 รายการ เพื่อหลอกขโมยรหัสผ่านและฝัง Cryptominer มีผู้ตกเป็นเหยื่อแล้วกว่า 100,000 ราย

แคมเปญมัลแวร์ Nigelthorn เริ่มแพร่กระจายตัวตั้งแต่เดือนมีนาคมที่ผ่านมา โดยหลอกให้ผู้ให้คลิกลิงค์ Phishing บน Facebook ซึ่งจะส่งเหยื่อไปยังเว็บไซต์ที่ดูน่าเชื่อถือ เช่น เว็บ YouTube ปลอม แล้วหลอกให้เหยื่อติดตั้ง Chrome Extension ซึ่งมีมัลแวร์แฝงอยู่ต่อ เมื่อมัลแวร์แพร่เข้าสู่เครื่องได้แล้วจะทำการขโมยข้อมูลล็อกอิน Social Media, ติดตั้ง Cryptocurrency Miner หรือโจมตีแบบ Click Fraud ต่อไป

Chrome Extensions ที่ถูกใช้ในแคมเปญ Nigelthorn มีทั้งสิ้น 7 รายการ ซึ่งแฮ็กเกอร์ได้ก็อปปี้มาจาก Extensions จริงบน Chrome Web Store แล้วทำการแทรกสคริปต์มัลแวร์ลงไป เพื่อหลอกระบบตรวจจับของ Google ส่งผลให้ Extensions ปลอมเหล่านี้เปิดให้ดาวน์โหลดผ่าน Chrome Web Store เช่นเดียวกัน

รายชื่อ Chrome Extensions ที่ใช้แพร่กระจายมัลแวร์ Nigelthorn ได้แก่

เมื่อเหยื่อเผลอติดตั้ง Chrome Extensions เหล่านี้ โค้ด JavaScript ของแฮ็กเกอร์จะถูกรันแล้วเปลี่ยนเครื่องของเหยื่อให้กลายเป็น Botnet โดยมีเป้าหมายเพื่อขโมยข้อมูลล็อกอิน Facebook และ Instagram ของเหยื่อ จากนั้นมัลแวร์จะพยายามส่งลิงค์ Phishing ไปยังเพื่อนที่อยู่ในรายชื่อของ Facebook เพื่อแพร่กระจายตัวเองต่อไป

นอกจากนี้ Nigelthorn ยังทำการดาวน์โหลด Browser-based Cryptocurrency Miner มาติดตั้งเพื่อขุดเหรียญ Monero, Bytecoin หรือ Electroneum สร้างรายได้ให้แก่ตนเองอีกด้วย จากรายงานพบว่า ผ่านไปเพียง 6 วัน แฮ็กเกอร์เจ้าของแคมเปญสามารถทำรายได้ได้สูงถึง $1,000 (ประมาณ 32,000 บาท)

Radware ได้รายงานแคมเปญ​ Nigelthorn ไปยัง Google ซึ่งก็ได้ทำการลบ Extensions ปลอมเหล่านี้ออกไปเรียบร้อย แนะนำให้ผู้ใช้ที่เผลอโหลด Extensions ดังกล่าวทำการถอนการติดตั้ง และเปลี่ยนรหัสผ่านของ Facebook และ Instagram ให้เรียบร้อย

ที่มา: https://thehackernews.com/2018/05/chrome-facebook-malware.html