El malware Zero-day está amenazando con robar credenciales de Facebook

7 extensiones en la web de Google han sido detectadas por estar infectadas con malware

Los usuarios de Facebook de nuevo están amenazados con malware. Esta vez, una nueva campaña relacionada con esta red social ha sido detectada por el equipo de seguridad de Radware. El virus, que obtuvo el apodo de Nigelthorn, entra en el sistema a través de enlaces ingeniosamente diseñados en Facebook. El malware es capaz de robar los datos personales (como las credenciales) y de instalar una extensión maliciosa que además es usada para minar cripto monedas en el ordenador afectado. Se ha anunciado que el virus, desde Marzo del 2018, ha afectado ya a alrededor de 100.000 usuarios.

Para sobrepasar el análisis de validación de Google, los hackers han copiado una extensión legítima y la han inyectado con un malicioso script, por lo que el malware debería ser ejecutado sin ser detectado. La mayoría de las extensiones afectadas incluyen Nigelify, PwnerLike, y iHabno. Con todo, siete aplicaciones han sido detectadas por contener un código malicioso de Nigelthorn. Por fortuna, Google ha eliminado las aplicaciones malévolas tras unas horas después de haber sido publicadas.

Merece la pena mencionar que los usuarios de Google Chrome son los únicos afectados por este malware, ya que solo fue inyectado en extensiones de Chrome.

Cómo funciona Nigelthorn

Como es común con los virus de Facebook, el usuario recibe un mensaje privado de una persona de su lista de amigos o es etiquetado en una publicación que contiene el enlace malicioso. Tras hacer click en él, el usuario es conducido a una falsa página de YouTube que les pide instalar una específica aplicación para reproducir un vídeo.

Si el usuario procede e instala la aplicación, normalmente Nigelify, ésta extrae el código malicioso y el ordenador queda instantáneamente infectado con malware. El JavaScript luego descarga una configuración de archivo de los hackers C2 la cual incluye un set de plugins (cripto mineros, click-baits de Youtube y un código que compromete el enlace de reproducción de Facebook).

Además, Nigelthorn descarga una herramienta públicamente disponible de minado de cripto monedas para el navegador y comienza a minar Monero, Bytecoin o Electroneum en el ordenador comprometido. No hace falta decir que el CPU del sistema disminuye su rendimiento, ya que el uso que alcanza es de casi el 100%. Los investigadores en seguridad han anunciado que los ciber criminales han logrado extraer caso 1000$ en seis días (principalmente Monero).

El malware también comienza un ciclo de auto-difusión. Reúne toda la información relevante para ser capaz de difundirse a través de la red del usuario. En cuanto la víctima hace click en el enlace malicioso, también envía la copia del mensaje a una persona aleatoria de la lista de amigos. De este modo, el malware se sigue difundiendo.

Finalmente, el virus intenta robar las credenciales de la cuenta de Facebook de la víctima, así como las cookies de información de Instagram. Si el usuario inserta sus credenciales, esta información es enviada a los criminales de C2.

Los virus de Facebook no van a parar de infectar a usuarios

Es evidente que los virus de Facebook no van a dejar de funcionar,y a que parecen tener bastante éxito a la hora de convencer a los usuarios para que hagan click en enlaces maliciosos y luego infectar los sistemas con malware.

Como es evidente con las recientes campañas Stresspaint y FacexWorm, los ciber criminales continúan encontrando diferentes métodos de sobrepasar las funciones integradas de seguridad. Aquí, los usuarios deberían ser extremadamente cautelosos cuando hacen click en enlaces, incluso aunque parezcan legítimos o provengan de un amigo de confianza.