Periset dari perusahaan keamanan Trend Micro memperingatkan pengguna bot penambangan kriptocurrency baru yang menyebar melalui Facebook Messenger dan menargetkan pengguna desktop Google Chrome untuk memanfaatkan lonjakan harga kriptocurrency baru-baru ini.
Dijuluki Digmine, peluru tambang Monero-cryptocurrency menyamar sebagai file video non-tertanam, dengan nama video_xxxx.zip (seperti yang ditunjukkan pada tangkapan layar), namun sebenarnya berisi skrip executable AutoIt.
Setelah diklik, malware menginfeksi komputer korban dan mendownload komponen dan file konfigurasi terkait dari server perintah-dan-kontrol jarak jauh (C & C).
Digimine terutama menginstal penambang kriptocurrency, yaitu miner.exe—a modified version of an open-source Monero miner known as XMRig - yang diam-diam menambang kripto Gangguan Monero di latar belakang bagi peretas yang menggunakan kekuatan CPU dari komputer yang terinfeksi.
Baca juga : VirusLocker beralih serangan ke Monero Minning
Baca juga : VirusLocker beralih serangan ke Monero Minning
Berikut gambar dari alur virus tersebut :
Selain penambang kriptocurrency, bot Digimine juga menginstal mekanisme autostart dan meluncurkan Chrome dengan ekstensi berbahaya yang memungkinkan penyerang mengakses profil Facebook korban dan menyebarkan file malware yang sama ke daftar teman mereka melalui Messenger.
Karena ekstensi Chrome hanya dapat dipasang melalui Toko Web Chrome resmi, "penyerang mem-bypass ini dengan meluncurkan Chrome (dimuat dengan ekstensi berbahaya) melalui baris perintah."
"Ekstensi akan membaca konfigurasinya sendiri dari server C & C. Ini bisa menginstruksikan perpanjangan untuk meneruskan dengan login ke Facebook atau membuka halaman palsu yang akan memutar video" periset Trend Micro mengatakan.
"Situs umpan yang memutar video tersebut juga berfungsi sebagai bagian dari struktur C & C. Situs ini berpura-pura menjadi situs streaming video namun juga menyimpan banyak konfigurasi untuk komponen perangkat lunak perusak."Perlu dicatat bahwa pengguna yang membuka file video jahat melalui aplikasi Messenger di perangkat seluler mereka tidak terpengaruh.
Karena penambang dikendalikan dari server C & C, penulis di balik Digiminer dapat meningkatkan perangkat lunak jahat mereka untuk menambahkan fungsi yang berbeda dalam semalam.
Digmine pertama kali diketahui menginfeksi pengguna di Korea Selatan dan sejak itu menyebarkan kegiatannya ke Vietnam, Azerbaijan, Ukraina, Filipina, Thailand, dan Venezuela.
Tapi karena Facebook Messenger digunakan di seluruh dunia, ada kemungkinan bot menyebar ke seluruh dunia.
Saat diberitahukan oleh Peneliti, Facebook mengatakan telah menurunkan sebagian besar file malware dari situs jejaring sosial tersebut.
Kampanye Facebook Spam cukup umum. Jadi pengguna disarankan untuk waspada saat mengklik link dan file yang disediakan melalui platform situs media sosial.
Sumber : Thehackernews
Post a Comment