Digmine: Infektion mit Monero Mining-Schadsoftware erfolgt über Facebook-Messenger

Facebook

Aktuell ist eine neue Malware namens Digmine in Umlauf. Betrüger können damit die Rechenkapazitäten fremder Computer nutzen, um Monero Mining zu betreiben. Die Weitergabe der Schadsoftware erfolgt über den Facebook-Messenger. Zusätzlich mitinstalliert wird eine bösartige Chrome-Erweiterung, die dessen Verbreitung an neue Opfer unterstützt, berichtet Bleeping Computer.

Facebook-User mehrerer Länder stehen im Mittelpunkt eines Angriffs einer neuen Malware-Variante namens Digmine. Der Monero-Cryptominer wird dabei wurmartig über den Facebook Messenger weitergegeben. Die Opfer erhalten eine Datei namens video_xxxx.zip (wobei xxxx eine vierstellige Zahl ist) per Messenger als private Nachricht zugestellt. Das Archiv des vermeintlichen Videolinks verbirgt allerdings eine manipulierte exe.-Datei. Benutzer, die so unvorsichtig sind, die Datei zu öffnen, werden mit Digmine infiziert.


Digmine ist in AutoIt geschrieben. Die Schadsoftware soll einen Remote Command-and-Control (C & C) Server für Anweisungen kontaktieren. Gemäß Expertenmeinungen würde der C&C-Server derzeit nur den Monero-Miner und eine Chrome-Erweiterung an die Opfer zurückschicken. Einmal im System angekommen, fügt Digminer dann einen registrierungsbasierten Autostart-Mechanismus in Windows hinzu und installiert den Monero Miner und die Chrome-Erweiterung, die er gerade erhalten hat. Die Angreifer nutzen für die Installation der Chrome-Erweiterung einen Trick, der die Befehlszeilenparameter der Chrome-Anwendung verwendet.

Die Erweiterung dient dazu, auf das Facebook Messenger-Profil des Benutzers zuzugreifen und private Nachrichten an alle Kontakte des Opfers zu senden, die dann eine ähnliche video_xxxx.zip enthalten. Der von dieser Chrome-Erweiterung verwendete Selbstausbreitungsmechanismus würde jedoch nur funktionieren, wenn Chrome Nutzer das automatische Login: „Angemeldet bleiben“ bei Facebook aktiviert haben.

Sicherheitsforscher von Trend Micro haben Facebook bereits kontaktiert, um der Schadcode-Verbreitung Einhalt zu gebieten. So konnten die speziellen Links von dem Netzwerk aus dem Messenger entfernt werden, sodass derzeit keine weiteren Infektionen mehr möglich sind. Jedoch kann die Digmine Crew die aktuellen Distributionslinks leicht ändern und dann eine neue Kampagne starten.

Folglich sollte man keine „verdächtigen“ Links im Messenger anklicken, auch wenn sie von Freunden versendet wurden. Die Kampagne schien zuerst auf südkoreanische Benutzer ausgerichtet zu sein, hat sich aber inzwischen auf Vietnam, Aserbaidschan, die Ukraine, Vietnam, die Philippinen, Thailand und Venezuela ausgeweitet. Laut Sicherheitsforschern sind derzeit nur Windows-Benutzer betroffen, keine Linux- oder Mac-Benutzer.

Ein Facebooksprecher äußerte sich zu dem Vorfall. Er verweist Benutzer auf die Hilfeseite von Facebook: „Wir halten eine Reihe automatisierter Systeme bereit, um zu verhindern, dass schädliche Links und Dateien auf Facebook und im Messenger erscheinen. Wenn wir vermuten, dass Ihr Computer mit Malware infiziert ist, stellen wir Ihnen eine kostenlose Antivirensuche von unseren vertrauenswürdigen Partnern zur Verfügung.“

Bildquelle: LoboStudioHamburg, thx! (CC0 Public Domain)

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.


Vielleicht gefällt dir auch