Se você receber um arquivo de vídeo ( embalado em arquivo zip ) enviado por alguém ( ou seus amigos ) no seu Facebook Messenger - simplesmente não clique nele.
Pesquisadores da empresa de segurança Trend Micro alertam os usuários de um novo bot de mineração de criptografia que está se espalhando pelo Facebook Messenger e visando usuários de desktop do Google Chrome para tirar proveito do recente aumento nos preços de cryptocurrency.
Denominado Digmine, o bot de mineração Monero-cryptocurrency se disfarça como um arquivo de vídeo não incorporado, sob o nome video_xxxx.zip (como mostrado na captura de tela), mas na verdade contém um script executável AutoIt.
Uma vez clicado, o malware infecta o computador da vítima e baixa seus componentes e arquivos de configuração relacionados a partir de um servidor de comando e controle remoto (C & C).
A Digimine instala principalmente um mineiro de cryptocurrency, ou seja, miner.exe - uma versão modificada de uma mineradora Monero de código aberto conhecida como XMRig - que silenciosamente minera a cryptocurrência Monero em segundo plano para hackers usando a potência da CPU dos computadores infectados.
Além do minério de criptografia, o bot Digimine também instala um mecanismo de inicialização automática e lança o Chrome com uma extensão maliciosa que permite que os invasores acessem o perfil do Facebook das vítimas e espalhem o mesmo arquivo de malware para a lista de seus amigos através do Messenger.
Uma vez que as extensões do Chrome só podem ser instaladas através da Chrome Web Store oficial, " os atacantes ignoraram isso ao lançar o Chrome (carregado com a extensão maliciosa) através da linha de comando " .
"A extensão irá ler sua própria configuração a partir do servidor C & C. Ele pode instruir a extensão para proceder com o login no Facebook ou abrir uma página falsa que reproduzirá um vídeo" dizem os pesquisadores da Trend Micro.
"O site do chamariz que reproduz o vídeo também serve como parte de sua estrutura C & C. Este site pretende ser um site de transmissão de vídeo, mas também contém muitas configurações para os componentes do malware".Vale ressaltar que os usuários que abrem o arquivo de vídeo mal-intencionado através do aplicativo Messenger em seus dispositivos móveis não são afetados.
Uma vez que o mineiro é controlado a partir de um servidor C & C, os autores por trás do Digiminer podem atualizar seu malware para adicionar funcionalidades diferentes durante a noite.
Digmine foi detectado pela primeira vez infectando usuários na Coréia do Sul e desde então espalhou suas atividades para o Vietnã, Azerbaijão, Ucrânia, Filipinas, Tailândia e Venezuela. Mas, como o Facebook Messenger é usado em todo o mundo, há mais chances de que o bot seja distribuído globalmente.
Quando notificado por pesquisadores, o Facebook disse que havia retirado a maioria dos arquivos de malware do site de redes sociais.
As campanhas de spam do Facebook são bastante comuns. Portanto, os usuários devem ser vigilantes ao clicar em links e arquivos fornecidos através da plataforma do site de redes sociais.
