Si vous recevez un fichier vidéo emballé dans une archive zip sur votre Facebook Messenger, ne cliquez pas dessus. Des chercheurs de la société de sécurité Trend Micro ont découvert un nouveau bot d'extraction de crypto-monnaie se propageant via Facebook Messenger et ciblant les utilisateurs de bureau Google Chrome.
Surnommé Digmine, le bot de minage Monero-crypto-monnaie se déguise en fichier vidéo non intégré, sous le nom video_xxxx.zip, mais est en fait un script exécutable AutoIt qui infecte les victimes qui tentent de l'exécuter.
Selon les chercheurs, même si Facebook Messenger fonctionne sur différentes plates-formes, Digmine n'affecte que la version de bureau/navigateur Web (Chrome) de Facebook Messenger. Si le fichier est ouvert sur d'autres plates-formes (par exemple, mobile), le logiciel malveillant ne fonctionnera pas comme prévu.
Si le compte Facebook de l'utilisateur est configuré pour se connecter automatiquement, Digmine manipulera Facebook Messenger afin d'envoyer un lien « fichier vidéo » à la liste d'amis du propriétaire du compte. Une fois cliqué sur ce lien, le logiciel malveillant infecte l'ordinateur de la victime et télécharge ses composants et les fichiers de configuration associés à partir d'un serveur de commande et de contrôle (C&C) distant.
Digimine installe principalement un mineur de crypto-monnaie, c'est-à-dire miner.exe, une version modifiée d'un mineur Monero open source connu sous le nom de XMRig, qui exploite silencieusement le Monero crypto-monnaie en arrière-plan pour les pirates utilisant le Puissance CPU des ordinateurs infectés.
Outre le mineur de crypto-monnaie, le bot Digimine installe également un mécanisme de démarrage automatique du registre et un marqueur d'infection du système, qui recherchera et lancera Chrome avec une extension de navigateur malveillante qui permet aux attaquants d'accéder au profil Facebook des victimes et de diffuser le même fichier malveillant à la liste de leurs amis. via Messenger. Si Chrome est déjà en cours d'exécution, le malware se terminera et relancera Chrome pour s'assurer que l'extension est chargée.
"Alors que les extensions ne peuvent être chargées et hébergées qu'à partir du Chrome Web Store, les attaquants ont contourné cela en lançant Chrome (chargé avec l'extension malveillante) via la ligne de commande", indique le blog.
L'extension lira également sa propre configuration à partir du serveur C&C et demandera à l'extension de se connecter à Facebook ou d'ouvrir une fausse page qui lira une vidéo.
« Le site Web leurre qui diffuse la vidéo fait également partie de leur structure C&C. Ce site prétend être un site de streaming vidéo mais contient également une grande partie des configurations des composants du malware.
Repéré pour la première fois en Corée du Sud, le bot de crypto jacking s'est répandu en Azerbaïdjan, aux Philippines, en Thaïlande, en Ukraine, au Venezuela et au Vietnam, démontrant ainsi son potentiel de dispersion ailleurs.
Après avoir été informé de ce problème à Facebook par Trend Micro, le géant des médias sociaux a rapidement supprimé de sa plate-forme de nombreux liens liés à Digmine. Dans la déclaration officielle de Facebook, « Nous maintenons un certain nombre de systèmes automatisés pour empêcher les liens et les fichiers nuisibles d'apparaître sur Facebook et dans Messenger. Si nous soupçonnons que votre ordinateur est infecté par des logiciels malveillants, nous vous fournirons une analyse antivirus gratuite de nos partenaires de confiance.
Les liens associés à Digmine ont été supprimés de Facebook, mais cela n'empêche pas les pirates de manipuler les liens existants pour continuer à s'attaquer aux utilisateurs de Facebook. De plus, étant donné que le mineur est contrôlé à partir d'un serveur C&C, les attaquants derrière Digiminer peuvent mettre à niveau leur malware pour ajouter différentes fonctionnalités du jour au lendemain.
"Un modus operandi connu des botnets d'extraction de crypto-monnaie, et en particulier pour Digmine, est de rester dans le système de la victime aussi longtemps que possible. Il veut également infecter autant de machines que possible, car cela se traduit par un taux de hachage accru et potentiellement plus de revenus cybercriminels », a noté le blog.
La récente flambée des prix des crypto-monnaies a incité les investisseurs à utiliser des méthodes contraires à l'éthique pour essayer d'en tirer parti. Ainsi, il est conseillé aux utilisateurs d'être vigilants lorsqu'ils cliquent sur des liens et fichiers suspects fournis via les sites de médias sociaux ou toute autre plateforme.
