SEGURIDAD INFORMÁTICA

"Digmine" es un virus que se está propagando por Facebook Messenger

Investigadores detectaron un nuevo "malware" que se viraliza a través de un archivo ejecutable. Mirá los detalles en la nota completa.
viernes, 22 de diciembre de 2017 · 18:47

Los usuarios de diversos países están siendo seleccionados en una campaña que ofrece una nueva forma de malware llamada Digmine, que instala un minero de criptomonedas Monero y una extensión de Google Chrome infectada que le permite propagarse y llegar a nuevas víctimas a través de Facebook.

Las víctimas suelen recibir un archivo llamado video_xxxxxx. zip (donde xxxx es un número de cuatro dígitos) que intenta presentarse como archivo de vídeo.  El archivo oculta un archivo EXE.  Los usuarios suficientemente descuidados al ejecutar el archivo serán afectados con Digmine.

Lo cierto, es que Digminer está escrito en AutoIt y tiene pocas características excepto contactar con un servidor remoto de comando y control (C&C) para obtener instrucciones.  Un investigador de seguridad surcoreano llamado Constant y expertos de la firma de seguridad Trend Micro dicen que, actualmente, el servidor C&C instala un minero de Monero y una extensión de Chrome.

Digminer también añade un mecanismo de autoarranque basado en el registro, y luego instala el minador Monero y la extensión de Chrome que acaba de recibir.  Normalmente, las extensiones de Chrome sólo se pueden cargar desde la tienda web oficial de Chrome, pero en este caso, los atacantes están instalando la extensión maliciosa a través de un truco inteligente que usa los parámetros de la línea de comandos de la aplicación Chrome.

El mecanismo de autopropagación utilizado por esta extensión de Chrome sólo funciona si los usuarios de Facebook tienen sesión iniciada en el navegador de Google. Si el usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no funcionará, ya que no podrá acceder a la interfaz de Facebook Messenger para enviar sus mensajes spam.

Los investigadores han detectado a los hackers enviando archivos EXE, lo que significa que sólo los usuarios de Windows son el objetivo actual, pero no los usuarios de Linux o Mac. La campaña parece haber sido dirigida inicialmente a los usuarios surcoreanos, pero desde entonces se ha extendido a Vietnam, Azerbaiyán, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.

Comentarios