انتشار یک بدافزار جدید برای استخراج ارز مجازی از طریق پیام‌رسان فیس‌بوک

اگر لینک یک ویدئو را از طرف کسی (یا حتی دوستتان) بر روی پیام رسان فیس بوک دریافت کردید، حتی اگر به نظر هیجان انگیز باشد، بدون هیچ تفکری بر روی آن کلیک نکنید. محققان امنیتی ترندمیکرو به کاربران از وجود یک افزونه ی مخرب در کروم هشدار می دهند که از طریق پیام رسان فیس بوک گسترش یافته و کاربران بسترهای معامله ی ارز مجازی را به منظور سرقت گواهی نامه های حساب کاربری آن ها مورد هدف قرار می دهد.

این تکنیک حمله که FacexWorm نام گرفته است، برای اولین بار در ماه آگوست سال گذشته توسط افزونه‌های مخرب به‌کار گرفته شد، اما محققان متوجه شدند که این بدافزار اوایل ماه جاری نیز با چندین قابلیت مخرب جدید منتشر شده است. این قابلیت‌های جدید شامل سرقت گواهی‌نامه‌های حساب‌های کاربری از وب‌سایت‌هایی مانند گوگل و وب‌سایت‌های ارز مجازی، هدایت قربانیان به کلاهبرداری‌های ارز مجازی و تزریق استخراج‌کننده بر روی صفحات وب به‌منظور استخراج ارز مجازی می‌باشد.

این اولین بدافزاری نیست که با استفاده از پیام‌رسان فیس‌بوک خود را مانند یک کرم گسترش می‌دهد. اواخر سال گذشته نیز، محققان ترندمیکرو یک بات استخراج ارز مجازی مونرو به نام Digming را کشف کردند که از طریق پیامرسان فیس‌بوک گسترش یافته و رایانه‌های ویندوز و همچنین گوگل کروم را با هدف استخراج ارز مجازی مورد حمله قرار می‌داد.

بدافزار FacexWorm نیز مانند Digming، با ارسال لینک و روش مهندسی اجتماعی از طریق پیام‌رسان فیسبوک، به دوستان یک حساب کاربری آسیب‌دیده کار می‌کند. با این کار، قربانیان به نسخه‌های جعلی وب‌سایت‌های ویدئویی محبوب مانند یوتیوب هدایت می‌شوند. لازم به ذکر است که افزونه‌ی FacexWorm تنها برای هدف قرار دادن کاربران کروم طراحی شده است. اگر بدافزار هر مرورگر وب دیگری را بر روی رایانه‌ی قربانی شناسایی کند، کاربر را به بازدید از یک تبلیغات به‌ظاهر امن هدایت می‌کند.
بدافزار FacexWorm چگونه کار می‌کند؟ اگر لینک ویدئوی مخرب با استفاده از مرورگر کروم باز شود، FacexWorm قربانی را به یک صفحه‌ی جعلی یوتیوب هدایت می‌کند که در آن، کاربر به دانلود یک افزونه‌ی مخرب کروم تحت عنوان یک افزونه‌ی کدک برای ادامه‌ی پخش ویدیو تشویق می‌شود. افزونه‌ی FacexWorm پس از نصب، ماژول‌های بیشتری را برای انجام وظایف مخرب مختلف از سرور دستور و کنترل خود دانلود می‌کند.

محققان می‌گویند: «FacexWorm یک کپی از افزونه‌ی کروم معمولی است اما با کد کوتاه مخرب که در آن تزریق شده است. زمانی‌که مرورگر باز است، کدهای جاوااسکریپت بیشتری از سرور دستور و کنترل دانلود می‌شوند. هربار که قربانی صفحه‌ی وب جدیدی را باز می‌کند، FacexWorm سرور دستور و کنترل خود را برای پیدا کردن و بازیابی یک کد جاوااسکریپت دیگر (میزبانی‌شده در مخزن گیت‌هاب) بررسی کرده و روال‌های آن را بر روی صفحه‌ی وب اجرا می‌کند.» از آنجایی‌که این افزونه تمام مجوزهای قابل گسترش بودن را در زمان نصب می‌گیرد، بدافزار می‌تواند به داده‌های هر وب‌سایتی که کاربر باز می‌کند، دسترسی پیدا کرده و یا آن‌ها را تغییر دهد.
در ادامه فهرستی از کارهایی که این بدافزار قادر به انجام آن‌هاست، آمده است:
 

•  بدافزار برای گسترش بیشتر خود مانند یک کرم، مجوز دسترسی OAuth برای حساب کاربری فیس‌بوک قربانی را درخواست می‌کند، سپس با استفاده از آن، به‌طور خودکار فهرست دوستان قربانی را دریافت کرده و لینک ویدئوی یوتیوب جعلی و مخرب را برای آن‌ها ارسال می‌کند.
   
• زمانی‌که بدافزار تشخیص دهد که قربانی صفحه‌ی ورود به وب‌سایت هدف را باز کرده است، گواهی‌نامه‌های حساب کاربر برای گوگل، MyMonero و Coinhive را به سرقت می‌برد.
   
•  بدافزار FacexWorm همچنین استخراج‌کننده‌ی ارز مجازی را به صفحات وب بازشده توسط قربانی تزریق می‌کند، که برای استخراج ارز مجازی توسط مهاجمان، از قدرت پردازنده‌ی رایانه‌ی قربانی استفاده می‌کند.
   
•  بدافزار FacexWorm با موقعیت‌یابی آدرس ذکرشده توسط قربانی و جایگزینی آن با یکی از آدرس‌های ارائه‌شده توسط مهاجم، حتی معاملات ارز مجازی کاربر را نیز به سرقت می‌برد.
   
• هنگامی‌که بدافزار تشخیص دهد که کاربر به یکی از ۵۲ بستر معاملاتی ارز مجازی دسترسی پیدا کرده یا کلمات کلیدی «blockchain»، «-eth» یا «ethereum» را در URL تایپ کرده است، برای سرقت سکه‌های دیجیتالی کاربر، او را به یک صفحه‌ی وب کلاهبرداری ارز مجازی هدایت می‌کند. بسترهای هدف شامل Poloniex، HitBTC، Bitfinex، Ethfinex و Binance و کیف پول Blockchain.info می‌باشد.
   
•  افزونه‌ی FacexWorm برای جلوگیری از شناسایی یا حذف شدن، زمانی‌که تشخیص دهد که کاربر صفحه‌ی مدیریت افزونه‌های کروم را باز کرده است، بلافاصله تب بازشده را می‌بندد.
   
• همچنین هربار که قربانی یک حساب کاربری در Binance ،DigitalOcean ،FreeBitco.in ،FreeDoge.co.in یا HashFlare ثبت‌نام می‌کند، مهاجم آن را بررسی می‌کند.

محققان ترندمیکرو متوجه شدند که بدافزار FacexWorm تا تاریخ ۱۹ آوریل، حداقل یک معامله‌ی بیت‌کوین (به ارزش ۲٫۴۹ دلار) را آلوده کرده،اما آن‌ها نمی‌دانند که مهاجمان از استخراج مخرب وب، چه‌مقدار پول کسب کرده‌اند. ارزهای مجازی که توسط FacexWorm مورد هدف قرار گرفته‌اند، عبارتند از؛ بیت‌کوین (BTC)، بیت‌کوین طلایی (BTG)، بیت‌کوین-کش (BCH)، دش (DASH)، ETH، اتریوم کلاسیک (ETC)، ریپل (XRP)، لایت‌کوین (LTC)، زد-کش (ZEC) و مونرو (XMR).

بدافزار FacexWorm در آلمان، تونس، ژاپن، تایوان، کره‌ی جنوبی و اسپانیا کشف شده است. اما از آنجایی‌که پیام‌رسان فیس‌بوک در سراسر جهان استفاده می‌شود، شانس بیشتری برای گسترش این بدافزار در سراسر جهان وجود دارد. قبل از اینکه محققان ترندمیکرو این موضوع را اطلاع دهند، فروشگاه وب کروم بسیاری از افزونه‌های مخرب را حذف کرده است، اما مهاجمان همچنان به بارگذاری آن در فروشگاه ادامه می‌دهند.

محققان گفتند که پیام‌رسان فیس‌بوک نیز می‌تواند لینک‌های مخرب و شیوه‌های مهندسی اجتماعی را شناسایی کرده و به‌طور مرتب رفتار تبلیغاتی حساب‌های آسیب‌دیده‌ی فیس‌بوک را مسدود نماید. از آنجایی‌که پویش‌های هرزنامه در فیس‌بوک کاملا رایج هستند، به کاربران توصیه می‌شود که هنگام کلیک بر روی لینک‌ها و فایل‌های ارائه‌شده از طریق بستر رسانه‌های اجتماعی هوشیار باشند.
 

منبع