趋势科技本周发现了一种新型恶意软件,它正通过桌面聊天工具Facebook Messenger传播。它首先在韩国被发现。但在随后的传播过程中,迅速传播到越南、阿塞拜疆、乌克兰、菲律宾、泰国和委内瑞拉。
韩国安全研究员c0nstant在发布的报告中将这款恶意软件描述为“bot”,趋势科技根据这一描述将其命名为“Digmine”。
伪装成视频文件传播Digmine是基于AutoIt编写的,通常伪装成视频文件。受害者通常会收到一个名为video_xxxx.zip(其中xxxx是四位数)的文件,其中隐藏了一个exe文件。如果受害者选择解压并执行这个exe文件,就会导致自己的设备感染Digmine。
由于可执行文件是exe文件,这意味着Digmine只攻击Windows用户,不攻击Linux或Mac用户。
Digmine已被证明是一个下载程序,除了联系远程指挥与控制(C&C)服务器寻求指示外,几乎没有其他功能。
研究人员表示,目前,Digmine将从C&C服务器下载两个关键组件:一个门罗硬币挖掘工具和一个Chrome浏览器插件。同时Digmine还会增加基于注册表的自启动机制,安装这两个组件。
通常情况下,Chrome插件只能从官方的Chrome插件库中下载安装。但事实证明,攻击者仍然利用Chrome命令行参数成功安装了这个恶意插件。
恶意插件用于自我传播机制。这个Chrome浏览器插件的主要功能是访问受害者的Facebook Messenger个人资料,并向受害者的所有联系人发送包含video_xxxx.zip文件的消息。
研究人员表示,这种自我传播机制只适用于使用Chrome浏览器登录Facebook Messenger并选择默认自动登录的受害者。如果受害者只是使用Chrome浏览器登录,而没有选择默认的自动登录,那么这个机制是无效的。因为,在这种情况下,它无法进入Facebook Messenger的消息编辑和发送界面。
脸书试图阻止Digmine分发趋势科技,称他们已经就这一发现联系了脸书。目前,该恶意链接已从Facebook Messenger对话中删除。但是,这只是一个应急解决方案,攻击者可以创建一个新的连接来执行Digmine的分发。
脸书发言人表示:“我们已经配置了一些自动化系统,帮助我们防止恶意链接和恶意文件出现在脸书或Messenger上。如果我们怀疑用户的计算机感染了恶意软件,我们将为用户提供免费的反病毒扫描程序。此外,我们还将分享如何在脸书保持安全的建议[.] com/help,并下载这些扫描仪的链接。”
本文由黑客视界综合网整理,图片均来自网络;请注明“来自黑客视界”,并附上链接。
