Si recibe un enlace para un video, incluso si parece muy interesante, enviado por alguien (o un amigo) en Facebook Messenger, simplemente no haga clic en él sin pensarlo dos veces.
Investigadores de seguridad cibernética de Trend Micro están advirtiendo a los usuarios sobre una extensión maliciosa de Chrome que se está propagando a través de Facebook Messenger y apuntando a usuarios de plataformas de comercio de criptomonedas para robar las credenciales de sus cuentas.
Apodada FacexWorm, la técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores notaron que el malware desarrolló algunas nuevas capacidades maliciosas a principios de este mes.
Las mismas incluyen robar credenciales de cuenta de sitios web, como sitios de Google y criptos, redirigir a las víctimas a estafas de criptomonedas, e inyectar scripts de minería en la página web para minar monedas digitales.
No es el primer malware que usa Facebook Messenger para propagarse como un gusano.
A fines del año pasado, los investigadores de Trend Micro descubrieron un robot de minería de la criptomoneda Monero, denominado Digmine, que se propaga a través del Facebook Messenger y apunta a las computadoras con Windows, así como a Google Chrome para la minería de criptomonedas.
Al igual que Digmine, FacexWorm también funciona mediante el envío de enlaces de ingeniería social a través de Facebook Messenger a los amigos de una cuenta de Facebook afectada, para redirigir a las víctimas a versiones falsas de sitios web populares de transmisión de video, como YouTube.
Cabe señalar que la extensión FacexWorm sólo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en la computadora de la víctima, redirige al usuario a un anuncio de aspecto inofensivo.
¿Cómo funciona el malware FacexWorm?
Si el enlace de video malicioso se abre con el navegador Chrome, FacexWorm redirecciona a la víctima a una página de YouTube falsa, donde se alienta al usuario a descargar una extensión maliciosa de Chrome como una extensión de códec para continuar reproduciendo el video.
Una vez instalada, la extensión FacexWorm Chrome descarga más módulos de su comando y servidor de control para realizar varias tareas maliciosas.
“FacexWorm es un clon de una extensión normal de Chrome, pero se le inyectó un código corto que contiene su rutina principal. Descarga el código JavaScript adicional del servidor de C&C cuando se abre el navegador”, dijeron los investigadores.
“Cada vez que una víctima abre una nueva página web, FacexWorm consultará su servidor C&C para encontrar y recuperar otro código JavaScript (alojado en un repositorio de Github) y ejecutar sus comportamientos en esa página web”.
Ataque de intercambios
Cuando el malware detecta que el usuario ha accedido a una de las 52 plataformas de comercio de criptomonedas o ha escrito palabras clave como “blockchain”, “ETH” o “Ethereum” en la URL, FacexWorm redireccionará a la víctima a una página web fraudulenta de criptomonedas para robarle. Las plataformas específicas incluyen Poloniex, HitBTC, Bitfinex, Ethfinex y Binance, y la billetera Blockchain.info.
Para evitar la detección o eliminación, la extensión FacexWorm cierra inmediatamente la pestaña abierta cuando detecta que el usuario está abriendo la página de administración de extensiones de Chrome.
El atacante también obtiene un incentivo de referencia cada vez que una víctima registra una cuenta en Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in o HashFlare.
Hasta ahora, los investigadores de Trend Micro han descubierto que FacexWorm ha comprometido al menos una transacción de Bitcoin (valorada en US$ 2.49) hasta el 19 de abril, pero no saben cuánto han ganado los atacantes de la minería web maliciosa.
Las criptomonedas amenazadas por FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), y Monero (XMR).
El malware FacexWorm se ha encontrado emergiendo en Alemania, Túnez, Japón, Taiwán, Corea del Sur y España, pero dado que Facebook Messenger se usa en todo el mundo, hay más posibilidades de que el malware se extienda a nivel global.
Aunque Facebook Messenger también puede detectar los enlaces maliciosos, socialmente diseñados y bloquear regularmente el comportamiento de propagación de las cuentas de Facebook afectadas, se aconseja a los usuarios estar atentos al hacer clic en los enlaces y archivos proporcionados a través de la plataforma del sitio de redes sociales.
