FaceXWorm: Verbreitung erfolgt über Facebook Messenger

Sicherheitsforscher der Firma Trend Micro haben Ende April einen neuen Virus, getauft auf FaceXWorm, aufgespürt, der sich über den Facebook Messenger verbreitet. Den Forschern zufolge wäre bei Benutzern von Facebook in Verbindung mit GoogleChrome und Kryptowährung Vorsicht angebracht, denn bei ihnen könnte der neue Malware-Stamm bereits auf dem Rechner gelandet sein. FaceXWorm befällt seine Opfer unter anderem wegen Diebstahls von Kennwörtern und Kryptowährungsgeldern, zudem betreibt er Mining und sammelt Zugangsdaten für Krypto-Handelsplätze, berichtet Bleeping Computer.

Die Forscher führen aus, dass FaceXWorm verglichen werden könne mit dem Mining-Virus Digmine, jedoch wurden hier neue Techniken hinzugefügt, die speziell auf Benutzer von Kryptowährung abzielen. Die Infektionskette ist jedoch gleich geblieben und beginnt in der Regel bei Nutzern, die über den Facebook Messenger einen Link vom Konto eines Freundes erhalten. Besagter Link führt zu einer Seite, die YouTube ähnelt. Chrome fordert die User nun auf, eine Erweiterung zu installieren, damit das Video auf der Seite abgespielt werden könne. Installiert man das Programm, ist man bereits infiziert. FaceXWorm verbindet sich geradewegs mit seinem Command-and-Control-Server (C&C) und führt dann bereits seinen schädlichen Code aus.


Dabei sieht der Wurm sehr vielseitigen Einsatzgebieten entgegen. Zum einen greift er Zugangsdaten ab, die er auf seinem C&C-Server speichert. Sobald ein Nutzer eine Handelsplattform öffnet oder nach Kryptowährungsbegriffen sucht, wird dieser weitergeleitet auf eine eigene Seite, die gerade einen „lukrativen“ Ethereum-Deal anbietet. Der User wird auch mit einer solche Website verbunden, die auffordert, eine kleine Ether-Summe zu senden, um dessen Konto zu verifizieren. Ferner greift der Wurm auf Handelsplattformen, wie Poloniex, HitBTC, Bitfinex, Ethfinex, Bancine sowie Blockchain.info Zugangsdaten ab und in den Krypto-Handel ein, indem er seine eigene Wallet-Adresse in das Empfänger-Feld einfügt. Zudem betreibt er noch Kryptomining.

Glücklicherweise war laut Sicherheitsforschern die Anzahl der betroffenen Rechner noch überschaubar. Laut Trend Micro gelang es den Cyberkriminellen nicht, aus diesem Programm einen Gewinn zu ziehen, da die Forscher die Erweiterung frühzeitig erkannten und meldeten und die mit dieser Kampagne verbundenen Adressen für Kryptowährung nur eine Transaktion im Wert von 2,49 Dollar aufzeichneten. Die entsprechende Chrome-Extension ist inzwischen blockiert.

Bildquelle: DirtyOpi, thx! (CC0 Public Domain)

Vielleicht gefällt dir auch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.