Malware FacexWorm mencuri cryptocurrency & kredensial Facebook
Malware pertama kali diidentifikasi pada bulan Agustus 2017 dan muncul kembali pada April 2018. Serangan itu melibatkan penyebaran pesan Facebook Messenger yang terinfeksi sementara serangan itu terbatas pada Chrome saat ini, kata para peneliti.
Jika FacexWorm mengidentifikasi bahwa browser bukan Chrome, ia akan mengalihkan pengguna ke iklan yang tidak berbahaya. Malware ini mampu mencuri kata sandi, cryptocurrency dan bahkan dapat melakukan cryptojacking.
Tahun lalu, malware itu menjadi pusat perhatian ketika diluncurkan melalui pesan phishing yang tersebar melalui Facebook Messenger . Ini memikat korban untuk versi YouTube yang palsu dan terinfeksi serta situs web populer lainnya. Setelah korban berada di halaman palsu, ekstensi Chrome yang berbahaya telah diunduh.
Sejak saat FacexWorm terdeteksi, pakar keamanan mengawasi kegiatannya dan pada bulan April 2018 mereka mendeteksi bahwa aktivitasnya telah meningkat secara substansial. Target utama FacexWorm bahkan kali ini adalah pengguna Facebook di seluruh dunia.
Menurut para peneliti, malware itu didistribusikan melalui Facebook dan memanfaatkan Google Chrome untuk mencapai tujuan keji. Namun, telah menerima perombakan luar biasa selama satu tahun terakhir karena sekarang mampu mencuri kredensial dari situs web tepercaya seperti Google.
Ia dapat menyerang situs-situs cryptocurrency juga ketika meluncurkan penipuan cryptocurrency dan menambang cryptocurrency dengan mengeksploitasi sumber daya sistem yang terinfeksi cukup mudah untuk FacexWorm. Seperti dicatat oleh Trend Micro di posting blog resminya di FacexWorm:
"FacexWorm menyuntikkan kode penambangan berbahaya di laman web, mengalihkan ke tautan rujukan penyerang untuk program rujukan terkait cryptocurrency, dan membajak transaksi di platform perdagangan dan dompet web dengan mengganti alamat penerima dengan penyerang."
Perlu dicatat bahwa untuk melakukan salah satu dari aktivitas berbahaya ini, malware harus diinstal pada sistem yang ditargetkan. Ini dicapai dengan mengirimkan korban tautan atas nama kontak Facebook yang akan dialihkan ke halaman YouTube palsu .
Di halaman ini, korban diminta untuk memasang ekstensi codec, yang kemungkinan akan memutar video yang dijanjikan. Ketika ekstensi ini dijalankan, FacexWorm terinstal dan mencari izin untuk mengakses situs untuk membuat modifikasi data yang diperlukan.
FacexWorm juga membuat kontak dengan server C & C untuk mengakses profil Facebook dan menerima lebih banyak tautan YouTube palsu, yang kemudian dikirim ke kontak lain sehingga malware terus menyebar. Jika tautan menjangkau pengguna yang tidak menggunakan Chrome, ia akan dialihkan ke iklan.
Para peneliti menyebut FacexWorm sebagai 'tiruan' dari ekstensi Chrome normal yang telah disuntik dengan pengkodean berbahaya; itu didistribusikan melalui pengunduhan kode JavaScript baru setiap kali browser atau situs web baru dibuka.
“FacexWorm adalah tiruan dari ekstensi Chrome biasa tetapi disuntik dengan shortcode yang berisi rutinitas utamanya. Ini mengunduh kode JavaScript tambahan dari server C & C ketika browser dibuka. Setiap kali seorang korban membuka halaman web baru, FacexWorm akan meminta server C & C untuk mencari dan mengambil kode JavaScript lain (di-host di repositori Github) dan mengeksekusi perilakunya di halaman web itu ”tulis para peneliti di posting blog perusahaan.
Jika malware tidak berhasil dalam membajak transaksi Bitcoin , ekstensi Chrome mencoba membuat tautan dengan penipuan rujukan lain yang menargetkan DigitalOcean, Binance, FreeDoge.co.in, FreeBitco.in dan HashFlare, dll. Ketika sistem terinfeksi dengan FaceXWorm, pengguna yang mencari istilah terkait cryptocurrency di address bar browser seperti Ethereum, itu akan mengarah ke halaman palsu.
Pengguna diminta untuk mengirim antara 0,5 dan 10 eter ke dompet penyerang untuk tujuan verifikasi dan sebagai imbalannya, pengguna dijanjikan untuk dikirim 5-100 eter. Para peneliti mencatat bahwa sejauh ini belum ada yang mengirim Eter ke dompet penyerang.
Malware ini memiliki mekanisme yang berbeda untuk menghindari deteksi. FacexWorm langsung menutup dirinya sendiri jika tab manajemen ekstensi diklik. Jenis mekanisme penghindaran ini digunakan oleh ekstensi berbahaya lainnya juga seperti DroidClub .
Meskipun demikian Google telah menghapus ekstensi yang terinfeksi dari Toko Web Chrome tetapi penyerang segera mengunggahnya kembali. Facebook juga diberitahu tentang malware tetapi mengklaim bahwa Messenger-nya memiliki kemampuan memblokir penyebaran tautan yang terinfeksi karena jaringan sosial mempertahankan berbagai sistem otomatis. Sistem ini ada untuk mencegah tautan dan file berbahaya memengaruhi pengguna Facebook dan Facebook Messenger .
“Jika kami menduga komputer Anda terinfeksi malware, kami akan memberikan Anda scan anti-virus gratis dari mitra tepercaya kami,” baca pernyataan resmi dari Facebook.
Namun, kami ingin menyarankan agar Anda berhati-hati saat membagikan tautan apa pun dan tetap berhati-hati terhadap pesan yang mencurigakan. Jangan lupa untuk mengaktifkan pengaturan privasi yang lebih ketat untuk semua akun media sosial Anda.Viraltagar/dbs