FacexWorm: il malware in diffusione su Facebook Messenger e Chrome

Gli utenti di Google Chrome, Facebook e tutti coloro che utilizzano cirptovalute devono prestare attenzione ad una nuova tipologia di malware chiamata FacexWorm: questo malware è specializzato nel furto di password, nel furto di criptovalute dai fondi delle vittime, nell’esecuzione di script per il mining e per un elevato livello di spam contro gli utenti Facebook.
Il nuovo malware è stato individuato qualche giorno fa e appare collegato a due diverse campagne di spam via Facebook Messenger: parliamo, nel dettaglio, di due massive campagne di spam che hanno avuto luogo rispettivamente in Agosto e Dicembre 2017 e che hanno diffuso il malware Digmine. Digmine installava miner di Monero e estensioni dannose nel browser Chrome delle vittime. I ricercatori concordano nell’affermare che il modus operandi di questa campagna sia molto simile alle due precedentemente citate, con qualche aggiunta tecnica rivolta agli utenti di criptovalute.
Come si diffonde FacexWorm

La catena di infezione rimane molto simile alle vecchie campagne e inizia solitamente quanto un utente riceve link attraverso messaggi di spam su Facebook Messenger. Il clic su questo link conduce a una pagina web che imita Youtube: tramite alcuni avvisi questa falsa pagina Youtube prova  a convincere gli utenti a installare una fantomatica estensione collegata a Youtube per Google Chrome.

Questa estensione ha numerose funzioni dannose, ma la più grave è indubbiamente quella per la quale l’estensione aggiunge del codice al browser degli utenti per rubare le credenziali dai form di login. Questo comportamento però non è attivo su tutti i siti, ma solo sugli account web Google, Coinhive o MyMonero. Le credenziali raccolte vengono quindi inviate ai server controllati dai cyber attaccanti.
Non è finita qui…
In secondo luogo, l’estensione FacexWorm reindirizza automaticamente gli utenti verso una pagina web dove li aspetta una vera e propria truffa per rubare criptovaluta: si chiede infatti agli utenti di inviare una piccola somma di Ethereum per verificare il proprio account.
Infine l’estensione aggiunge uno script per il mining di criptovaluta, caricando le istanze di Coinhive nel browser stesso: l’utente, senza averne nessuna consapevolezza, “presta” così la capacità di calcolo del proprio PC per produrre Monero a vantaggio degli attaccanti. 
Produce Monero… e ruba le criptovalute degli altri
Il malware inoltre riesce a cambiare le informazioni sui destinatari delle transazioni di criptovaluta su piattaforme di trading conosciute come Poloniex, HitBTC, Bitfinex, Ethfinex, Binance e Blockchain.info. In sunto riesce a indirizzare il flusso di criptovalute delle vittime verso indirizzi di proprietà dei truffatori stessi. Almeno per questa attività dannosa però i danni sono stati molto limitati, dato che l’estensione dannosa è stata prontamente segnalata.