FaceXWorm: Verbreitung erfolgt über Facebook Messenger

Trend Micro hat Ende April einen neuen Virus, getauft auf FaceXWorm, aufgespürt, der sich über den Facebook Messenger verbreitet.

FaceXWorm

Sicherheitsforscher der Firma Trend Micro haben Ende April einen neuen Virus, getauft auf FaceXWorm, aufgespürt, der sich über den Facebook Messenger verbreitet. Den Forschern zufolge wäre bei Benutzern von Facebook in Verbindung mit GoogleChrome und Kryptowährung Vorsicht angebracht, denn bei ihnen könnte der neue Malware-Stamm bereits auf dem Rechner gelandet sein. FaceXWorm befällt seine Opfer unter anderem wegen Diebstahls von Kennwörtern und Kryptowährungsgeldern, zudem betreibt er Mining und sammelt Zugangsdaten für Krypto-Handelsplätze, berichtet Bleeping Computer.

FaceXWorm verbreitet sich über den Facebook Messenger

Die Forscher führen aus, dass FaceXWorm verglichen werden könne mit dem Mining-Virus Digmine, jedoch wurden hier neue Techniken hinzugefügt, die speziell auf Benutzer von Kryptowährung abzielen. Die Infektionskette ist jedoch gleich geblieben und beginnt in der Regel bei Nutzern, die über den Facebook Messenger einen Link vom Konto eines Freundes erhalten.

Besagter Link führt zu einer Seite, die YouTube ähnelt. Chrome fordert die User nun auf, eine Erweiterung zu installieren, damit das Video auf der Seite abgespielt werden könne. Installiert man das Programm, ist man bereits infiziert. FaceXWorm verbindet sich geradewegs mit seinem Command-and-Control-Server (C&C) und führt dann bereits seinen schädlichen Code aus.


Zugangsdaten, plus Phishing plus Krypto-Mining

Dabei sieht der FaceXWorm sehr vielseitigen Einsatzgebieten entgegen. Zum einen greift er Zugangsdaten ab, die er auf seinem C&C-Server speichert. Sobald ein Nutzer eine Handelsplattform öffnet oder nach Kryptowährungsbegriffen sucht, wird dieser weitergeleitet. Es geht eine eigene Seite, die gerade einen „lukrativen“ Ethereum-Deal anbietet. Der User wird auch mit einer solche Website verbunden. Diese fordert das Opfer dazu auf, einen kleinen Betrag mittels ETH zu senden, um dessen Konto zu verifizieren. Ferner greift der Wurm auf Handelsplattformen, wie Poloniex, HitBTC, Bitfinex, Ethfinex, Bancine sowie Blockchain.info Zugangsdaten ab. Zudem steigt er in den Krypto-Handel ein, indem er seine eigene Wallet-Adresse in das Empfänger-Feld einfügt. Außerdem betreibt er noch Kryptomining.

Glücklicherweise war laut Sicherheitsforschern die Anzahl der von FaceXWorm betroffenen Rechner noch überschaubar. Laut Trend Micro gelang es den Cyberkriminellen nicht, aus diesem Programm Gewinne zu erzielen. Die Forscher erkannten die Erweiterung frühzeitig. Offenbar konnten sie bei der mit dieser Kampagne verbundenen Wallet-Adressen nur eine Transaktion im Wert von 2,49 Dollar feststellen. Die entsprechende Chrome-Extension hat man inzwischen blockiert.

Bildquelle: DirtyOpi, thx! (CC0 Public Domain)

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.