zip 아카이브로 압축 된 비디오 파일을받은 경우 페이스 북의 메신저, 클릭하지 마십시오. 보안 회사 인 Trend Micro의 연구원들은 Facebook Messenger를 통해 확산되고 Google Chrome 데스크톱 사용자를 대상으로하는 새로운 암호 화폐 채굴 봇을 발견했습니다.
더빙 된 디그마인, Monero-cryptocurrency 마이닝 봇은 video_xxxx.zip이라는 이름으로 포함되지 않은 비디오 파일로 위장하지만 실제로는이를 실행하려는 피해자를 감염시키는 AutoIt 실행 스크립트입니다.
연구원에 따르면 Facebook Messenger가 다른 플랫폼에서 작동하더라도 Digmine은 Facebook Messenger의 데스크톱 / 웹 브라우저 (Chrome) 버전에만 영향을 미칩니다. 파일이 다른 플랫폼 (예 : 모바일)에서 열리면 맬웨어가 의도 한대로 작동하지 않습니다.
사용자의 Facebook 계정이 자동으로 로그인하도록 설정되어있는 경우 Digmine은 계정 소유자의 친구 목록에 '동영상 파일'링크를 보내기 위해 Facebook Messenger를 조작합니다. 해당 링크를 클릭하면 악성 코드는 피해자의 컴퓨터를 감염시키고 원격 명령 및 제어 (C & C) 서버에서 구성 요소 및 관련 구성 파일을 다운로드합니다.
Digimine은 주로 암호 화폐 채굴 기 (예 : miner.exe)를 설치합니다. 즉, XMRig로 알려진 오픈 소스 Monero 채굴 기의 수정 된 버전으로 Monero를 자동으로 채굴합니다. 암호 화폐 해커를위한 백그라운드에서 감염된 컴퓨터의 CPU 성능.
암호 화폐 채굴 기 외에도 Digimine 봇은 레지스트리 자동 시작 메커니즘과 시스템 감염 마커를 설치합니다.이 마커는 공격자가 피해자의 Facebook 프로필에 액세스하고 동일한 악성 코드 파일을 친구 목록에 유포 할 수있는 악성 브라우저 확장 프로그램으로 Chrome을 검색하고 실행합니다. 메신저를 통해. Chrome이 이미 실행중인 경우 멀웨어가 종료되고 Chrome을 다시 시작하여 확장 프로그램이로드되었는지 확인합니다.
"확장 프로그램은 Chrome 웹 스토어에서만로드하고 호스팅 할 수 있지만 공격자는 명령 줄을 통해 Chrome (악성 확장 프로그램과 함께로드 됨)을 실행하여이를 우회했습니다."라고 블로그 게시물은 말합니다.
확장 프로그램은 또한 C & C 서버에서 자체 구성을 읽고 확장 프로그램이 Facebook에 로그인을 계속하거나 비디오를 재생할 가짜 페이지를 열도록 지시합니다.
“비디오를 재생하는 미끼 웹 사이트도 C & C 구조의 일부로 사용됩니다. 이 사이트는 비디오 스트리밍 사이트 인 것처럼 가장하지만 맬웨어 구성 요소에 대한 많은 구성을 보유하고 있습니다. "
한국에서 처음 발견 된이 암호화 재킹 봇은 아제르바이잔, 필리핀, 태국, 우크라이나, 베네수엘라, 베트남 전역에 퍼져 다른 곳으로 퍼질 가능성을 보여주었습니다.
트렌드 마이크로가이 문제를 페이스 북에 통보 한 후,이 소셜 미디어 거대 기업은 플랫폼에서 디그 마인 관련 링크를 즉시 제거했습니다. 페이스 북의 공식 성명에서“우리는 페이스 북과 메신저에 유해한 링크와 파일이 나타나는 것을 막기 위해 여러 자동화 시스템을 유지하고 있습니다. 컴퓨터가 멀웨어에 감염된 것으로 의심되면 신뢰할 수있는 파트너가 제공하는 무료 안티 바이러스 검사를 제공합니다. "
Digmine과 관련된 링크는 Facebook에서 제거되었지만 해커가 Facebook 사용자를 계속해서 공격하기 위해 기존 링크를 조작하는 것을 막지는 않습니다. 또한 광부가 C & C 서버에서 제어되기 때문에 Digiminer의 공격자는 맬웨어를 업그레이드하여 밤새 다른 기능을 추가 할 수 있습니다.
“암호 화폐 채굴 봇넷, 특히 Digmine의 알려진 방식은 피해자의 시스템에 최대한 오래 머무르는 것입니다. 또한 해시 율이 증가하고 잠재적으로 더 많은 사이버 범죄 소득으로 이어지기 때문에 가능한 한 많은 시스템을 감염시키고 자합니다.”라고 블로그 게시물이 언급했습니다.
최근 암호 화폐 가격의 급등으로 인해 투자자들은 비 윤리적 인 방법을 사용하여이를 활용하고 있습니다. 따라서 사용자는 소셜 미디어 사이트 또는 기타 플랫폼을 통해 제공되는 의심스러운 링크 및 파일을 클릭 할 때 경계하는 것이 좋습니다.
