На фоне ажиотажа вокруг криптовалюты злоумышленники изобретают новые способы распространения и установки программ для добычи цифровых денег на устройства ничего не подозревающих пользователей. В частности, эксперты компании Trend Micro зафиксировали новую кампанию, в рамках которой преступники распространяют майнер криптовалюты Monero под названием Digminer через приложение для мгновенного обмена сообщениями Facebook Messenger. Кампания в основном направлена на пользователей из Украины, Азербайджана, Вьетнама, Южной Кореи, Филиппин, Таиланда и Венесуэлы.
По данным исследователей, Digminer затрагивает только десктопную версию Facebook Messenger (для Chrome). В случае, если файл открывается на других платформах (мобильных), он просто не работает. Вредонос содержится в замаскированном под видеоролик файле video_xxxx.zip (где xxxx – четырехзначный номер). Digminer написан на языке AutoIt и обладает только небольшим набором функций, в частности, возможностью связи с C&C-сервером, с которого загружаются собственно майнер криптовалюты и расширение для Chrome. Далее Digminer добавляет механизм автозапуска и устанавливает майнер и расширение. Цель последнего заключается в отправке вредоносных сообщений с профиля жертвы. Данный метод работает только в том случае, если в Chrome сохранены учетные данные для авторизации в аккаунте Facebook, в противном – расширение не сможет получить доступ к интерфейсу мессенджера и, соответственно, рассылать спам.
Как правило, расширения для Chrome можно загрузить только из официального каталога Chrome Web Store, но в данном случае злоумышленники для установки вредоносного расширения используют хитрых трюк, предполагающий эксплуатацию параметров командной строки приложения.
В настоящее время кампания затрагивает только пользователей Windows. Эксперты Trend Micro проинформировали Facebook о проблеме, и компания уже удалила вредоносные ссылки в сообщениях. Однако, отмечают исследователи, данная мера не является окончательным решением проблемы, так как операторы Digminer могут изменить метод распространения вредоноса и запустить новую кампанию.

Источник: securitylab.ru