Nutzer des Facebook-Messengers werden aktuell angegriffen durch die Digmine Malware. Diese benutzt den Messenger, um sich zu verbreiten.
Aktuell ist eine neue Malware namens Digmine in Umlauf. Betrüger können damit die Rechenkapazitäten fremder Computer nutzen, um Monero Mining zu betreiben. Die Weitergabe der Schadsoftware erfolgt über den Facebook-Messenger. Zusätzlich mitinstalliert wird eine bösartige Chrome-Erweiterung, die dessen Verbreitung an neue Opfer unterstützt, berichtet Bleeping Computer.
Digmine verbreitet sich über den Facebook-Messenger
Facebook-User mehrerer Länder stehen im Mittelpunkt eines Angriffs einer neuen Malware-Variante namens Digmine. Der Monero-Cryptominer wird dabei wurmartig über den Facebook Messenger weitergegeben. Die Opfer erhalten eine Datei namens video_xxxx.zip (wobei xxxx eine vierstellige Zahl ist) per Messenger als private Nachricht zugestellt. Das Archiv des vermeintlichen Videolinks verbirgt allerdings eine manipulierte exe.-Datei. Benutzer, die so unvorsichtig sind, die Datei zu öffnen, werden mit Digmine infiziert.
Digmine ist in AutoIt geschrieben. Die Schadsoftware soll einen Remote Command-and-Control (C & C) Server für Anweisungen kontaktieren. Gemäß Expertenmeinungen würde der C&C-Server derzeit nur den Monero-Miner und eine Chrome-Erweiterung an die Opfer zurückschicken. Einmal im System angekommen, fügt Digminer dann einen registrierungsbasierten Autostart-Mechanismus in Windows hinzu und installiert den Monero Miner und die Chrome-Erweiterung, die er gerade erhalten hat. Die Angreifer nutzen für die Installation der Chrome-Erweiterung einen Trick, der die Befehlszeilenparameter der Chrome-Anwendung verwendet.
Nachrichten verbreiten verseuchte .exe
Die Erweiterung dient dazu, auf das Facebook Messenger-Profil des Benutzers zuzugreifen und private Nachrichten an alle Kontakte des Opfers zu senden, die dann eine ähnliche video_xxxx.zip enthalten. Der von dieser Chrome-Erweiterung verwendete Selbstausbreitungsmechanismus würde jedoch nur unter einer bestimmten Voraussetzung funktionieren. Nämlich wenn Chrome Nutzer den automatische Login: „Angemeldet bleiben“ bei Facebook aktiviert haben.
Sicherheitsforscher von Trend Micro haben Facebook bereits kontaktiert, um der Schadcode-Verbreitung Einhalt zu gebieten. So konnten die speziellen Links von dem Netzwerk aus dem Messenger entfernt werden, sodass derzeit keine weiteren Infektionen mehr möglich sind. Jedoch kann die Digmine Crew die aktuellen Distributionslinks leicht ändern und dann eine neue Kampagne starten.
Bisher nur Windows User von Digmine betroffen
Folglich sollte man keine „verdächtigen“ Links im Messenger anklicken, auch wenn sie von Freunden stammen. Die Kampagne schien zuerst auf südkoreanische Benutzer ausgerichtet zu sein, hat sich aber inzwischen auf Vietnam, Aserbaidschan, die Ukraine, Vietnam, die Philippinen, Thailand und Venezuela ausgeweitet. Laut Sicherheitsforschern sind derzeit nur Windows-Benutzer betroffen, keine Linux- oder Mac-Benutzer.
Ein Facebook-Sprecher äußerte sich zu dem Vorfall. Er verweist Benutzer auf die Hilfeseite von Facebook:
„Wir halten eine Reihe automatisierter Systeme bereit, um zu verhindern, dass schädliche Links und Dateien auf Facebook und im Messenger erscheinen. Wenn wir vermuten, dass Ihr Computer mit Malware infiziert ist, stellen wir Ihnen eine kostenlose Antivirensuche von unseren vertrauenswürdigen Partnern zur Verfügung.“
Bildquelle: LoboStudioHamburg, thx! (CC0 1.0 PD)
Tarnkappe.info