ゼロデイ・マルウェアが Facebook の信用を脅かす

Google のウェブストアで 7 つの拡張機能にマルウェアへの感染が見つかる

Facebook のユーザーがまたマルウェアに脅かされています。今回、Radware のセキュリティ・チームによりこのソーシャル・ネットワークに関連した新しいキャンペーンが検出されたのです 。このウィルスは Nigelthorn とも呼ばれていますが、巧みに工作した Facebook上のリンクを経由してシステムに入り込みます。マルウェアは (ログイン情報などの) 個人情報を盗み、有害な拡張機能をインストールしますが、後者はさらにターゲットのマシンで仮想通貨を採掘するためにも使われています。発表によると、このウィルスは 2018 年の 3 月以来、すでに 100,000 人以上のユーザーに感染しているそうです。

Google の検証分析を避けるために、ハッカーは合法的な拡張機能をコピーしてそこに有害なスクリプトを挿入し、マルウェアが気づかれずに実行できるようにしています。最もターゲットとされた拡張機能には Nigelify、PwnerLike、および iHabno があります。全部で 7 つのアプリに有害な Nigelthorn のコードが含まれているのが見つかりました。幸いなことに、Google はパブリッシュされてから数時間のうちに悪意のあるアプリを除去しました。

マルウェアは Chrome の拡張機能のみに挿入されていたため、攻撃を受けたのはGoogle Chrome のユーザーのみであることは特筆すべきでしょう。

Nigelthorn のやり口

Facebook ウィルスにはよくあることですが 、ユーザーは自分の友達リストにいる誰かから私的なメッセージを受け取るか、有害なリンクが含まれている投稿にタグ付けされます。それをクリックすると、ユーザーは偽の YouTube サイトに誘導され、そこで動画を再生するために何らかのアプリをインストールするよう求められるのです。

そのまま進むと、ユーザーはあるアプリをインストールすることになるのですが、それは一般的には Nigelify であり、これは悪意のあるコードを抽出し、PC は瞬時にマルウェアに感染します。そうすると JavaScript がハッカーの C2 から構成ファイルをダウンロードし、そこには一連のプラグインが含まれています (仮想通貨マイナー、YouTube クリックベイト、および Facebook のリンクの再製に感染するコード)。

さらに、Nigelthorn はブラウザに誰でも利用できる仮想通貨採掘ツールをダウンロードし、感染したマシン上で Monero、Bytecoin または Electroneum を採掘し始めるのです。言うまでもなく、PC の CPU の使用率がほぼ 100% にまで跳ね上がるに連れて、PC の能力が落ちていきます。セキュリティのリサーチャーは、サイバー犯罪者たちが 6 日間ほどで $1000 近くもまんまと採掘したと発表しました (ほとんどが Monero)。

マルウェアはさらに自己拡散のサイクルを開始します。ユーザーのネットワーク上でマルウェアを拡散するために関連の情報を収集します。被害者が有害なリンクをクリックすると、すぐに友達リストからランダムに相手にメッセージのコピーを送信します。このようにして、マルウェアはどんどん拡散していくのです。

最後に、ウィルスは被害者の Facebook のアカウントから信用情報を盗もうとするほか、インスタグラムからはクッキーの情報も盗みます。ユーザーが自分のログイン情報を入力すると、この情報が悪者の C2 に送られます。

Facebook ウィルスはユーザーへの感染をやめる気配なし

Facebook ウィルスはユーザーを騙して有害なリンクをクリックさせたり、マルウェアをシステムに感染させたりと、かなり上手にやっているところを見ると、まだまだ留まり続けるつもりのようです。最近の Stresspaint や FacexWorm のキャンペーンでも分かるように、サイバー犯罪者はこれからも様々な方法を見つけて内蔵のセキュリティ対策を迂回するでしょう。そこで、ユーザーはリンクがいかに合法的に見えても、また信頼のおける友人から来たものであっても、特に注意を払う必要があります。

著者について
Jake Doevan
Jake Doevan - 人生は、ウィルスなんかに費やす場合でないほど短いものです

Jake Doevan に連絡する
Esolutions について

別の言語で読む
ファイル
ソフト
比較