2017년 8월에 발견된 Chrome 확장 프로그램이 다시 돌아오고 있습니다. FacexWorm이라고 불리는 이 웜은 소매에 새로운 트릭이 있는 오래된 웜입니다. 이 맬웨어의 피해자는 한 가지 중요한 실수를 저지릅니다. 그들은 노골적인 악성 파일을 인정하고 엽니다!
어떻게 시스템에 입력됩니까?
사용자가 Facebook Messenger를 통해 서로 친구에게서 온 임의의 스팸 메시지를 열면 메시지에 비디오 링크가 표시됩니다. 이 링크는 동영상을 실행하기 위해 코덱 확장 프로그램을 로드하라는 팝업 메시지를 보내는 프록시 YouTube 사이트로 이동합니다. 그런 다음 동영상을 더 빠르게 스트리밍하기 위해 열린 웹사이트에서 변경 데이터에 대한 액세스를 요청합니다.
스크립트가 PC에 로드되면 FacexWorm은 명령 및 제어(C&C) 서버에 추가 악성 코드를 조용히 다운로드하기 시작합니다. 그런 다음 Facebook 웹 사이트를 열고 목록에 있는 다른 모든 친구와 팔로워에게 메시지를 보냅니다. 이것이 시스템으로 확산되고 이를 사용하여 네트워크로 더 확산되는 방식입니다.
시스템에 어떤 영향을 미칩니까?
구글 크롬 데스크톱 버전이 아닌 다른 브라우저를 통해 접속하면 악성 링크가 임의의 광고로 전환된다. 이렇게 하면 탐지를 피하고 새 웹 페이지가 열릴 때마다 C&C 서버의 쿼리를 검색하여 다른 JavaScript 코드를 찾아 검색합니다. 이러한 코드는 Github 리포지토리에서 호스팅된 다음 해당 웹페이지에서 동일한 프로세스를 반복합니다.
PC에 암호화폐 지갑이 저장되어 있거나 온라인에서 암호화폐 거래 페이지에 접속하면 FaceXWorm은 입력된 주소를 찾아 웜 배후의 해커가 지정한 다른 주소로 대체합니다.
FacexWorm은 Binance, Poloniex, Bitfinex 및 HitBTC와 같은 여러 거래 플랫폼에서 이 전환을 수행할 수 있는 잠재력을 가지고 있습니다.
동일한 목표로 삼은 암호화폐는 비트코인(BTC) 대시(DASH), 이더리움 클래식(ETC), 모네로(XMR) 등입니다.
잠재적 피해는 무엇입니까?
FacexWorm 맬웨어는 소셜 미디어 포털을 통해 시스템에 로드됩니다. 이로 인해 피해자와 디지털 신원에 영향을 미치는 다양한 방법이 있습니다.
1) Google, Coinhive 및 기타 소셜 미디어 페이지와 같은 다양한 플랫폼에서 피해자 계정 자격 증명을 손상시킬 수 있습니다. 일단 피해자의 로그인에 접근할 수 있게 되면 이 모든 데이터를 메인 서버로 다시 보내고 계속 추적합니다.
2) 피해자의 PC에서 암호화폐를 채굴할 가능성까지 있다. 지나치게 복잡한 Coinhive 스크립트는 피해자의 PC에서 탐지되지 않고 실행됩니다. 이 스크립트는 피해자의 PC 전원을 사용하여 해커의 지갑을 위해 암호를 채굴하는 CoinHive 풀에 연결됩니다. PC 사용량은 20%로 제한되지만, 그 자체로 피해자가 지불하는 전력 요금의 20%가 추가됩니다.
3) FacexWorm은 본의 아니게 피해자를 암호화폐 사기에 연루시킬 가능성이 있습니다. 멀웨어 처분 시 계정 세부 정보의 도움으로 블록체인, 비트코인, 이더리움, 리플 등과 같은 키워드를 사용하고 미리 준비된 다른 사기 페이지로 안내합니다. 스캠 페이지에는 공격자의 지갑 주소로 0.5~10 이더(ETH)를 보내고 그 대가로 최대 5~100 ETH를 받은 승자로 추정되는 가짜 주장이 있습니다. 참고:이것은 시장에서 가장 흔한 형태의 암호화폐 사기 중 하나입니다. 4) 피해자가 웹사이트에 접속하면 Facexworm이 동일한 이름의 프록시 웹사이트를 표시할 가능성이 높습니다. 이러한 프록시 사이트는 공격자가 원래 웹 사이트의 참조 링크로 지정합니다. 이를 통해 공격자는 추천 인센티브를 얻습니다. 동일한 방식으로 표적이 된 사이트는 DigitalOcean, Binance, HashFlare 및 FreeBitco.in 등입니다.
결론:주의!
현재 피해자에 대한 보고는 많지 않지만 FacexWorm은 가장 피해가 큰 맬웨어 중 하나가 될 가능성이 있습니다. 하나의 디지털 신원을 손상시키고 장기적으로 암호화폐 지갑을 망칠 가능성이 있습니다. 발신자 이름과 관계없이 Facebook Messenger에서 수신할 수 있는 메시지를 클릭하기 전에 독자들에게 주의하시기 바랍니다.