ส่วนขยายของ Chrome ที่ถูกพบในเดือนสิงหาคม 17 กำลังจะกลับมาอีกครั้ง ได้รับการขนานนามว่า FacexWorm มันเป็นเวิร์มตัวเก่าที่มีกลอุบายใหม่ๆ ผู้ที่ตกเป็นเหยื่อของมัลแวร์นี้ ทำผิดพลาดที่สำคัญอย่างหนึ่ง พวกเขารับทราบและเปิดไฟล์ที่เป็นอันตรายอย่างโจ๋งครึ่ม!
มันเข้าสู่ระบบของคุณได้อย่างไร
เมื่อผู้ใช้เปิดข้อความสแปมแบบสุ่มจากเพื่อนร่วมทางผ่าน Facebook Messenger พวกเขาจะได้รับลิงก์วิดีโอในข้อความ ลิงก์นี้จะนำผู้ใช้ไปยังเว็บไซต์พร็อกซี YouTube ซึ่งจะส่งข้อความป๊อปอัปให้โหลดส่วนขยายตัวแปลงสัญญาณเพื่อเรียกใช้วิดีโอ จากนั้นจึงร้องขอการเข้าถึงเพื่อเปลี่ยนแปลงข้อมูลบนเว็บไซต์ที่เปิดอยู่เพื่อการสตรีมวิดีโอที่รวดเร็วขึ้น
เมื่อโหลดสคริปต์ลงบนพีซีแล้ว FacexWorm จะเริ่มดาวน์โหลดโค้ดที่เป็นอันตรายเพิ่มเติมอย่างเงียบๆ บนเซิร์ฟเวอร์ command-and-control (C&C) จากนั้นจะเปิดเว็บไซต์ของ Facebook และส่งข้อความไปยังเพื่อนและผู้ติดตามคนอื่นๆ ทั้งหมดในรายการของคุณ เป็นวิธีที่แพร่กระจายเข้าสู่ระบบของคุณและใช้เพื่อกระจายต่อไปในเครือข่าย
ส่งผลต่อระบบของคุณอย่างไร
เมื่อเข้าถึงผ่านเบราว์เซอร์อื่นที่ไม่ใช่ Google Chrome เวอร์ชันเดสก์ท็อป ลิงก์ที่เป็นอันตรายจะเปลี่ยนไปยังโฆษณาแบบสุ่ม วิธีนี้จะช่วยหลีกเลี่ยงการตรวจจับและทุกครั้งที่เปิดหน้าเว็บใหม่ มันจะค้นหาคำค้นหาของเซิร์ฟเวอร์ C&C เพื่อค้นหาและดึงรหัส JavaScript อื่น โค้ดเหล่านี้โฮสต์อยู่บนพื้นที่เก็บข้อมูล Github จากนั้นทำซ้ำขั้นตอนเดียวกันบนหน้าเว็บนั้น
หากในกรณีที่มีกระเป๋าสตางค์สกุลเงินดิจิทัลบันทึกไว้ในพีซี หรือเข้าถึงหน้าธุรกรรมสกุลเงินดิจิทัลทางออนไลน์ FaceXWorm จะค้นหาที่อยู่ที่ป้อนและแทนที่ด้วยที่อยู่อื่นที่แฮ็กเกอร์ระบุหลังเวิร์ม
FacexWorm มีศักยภาพในการดำเนินการเปลี่ยนนี้บนแพลตฟอร์มการซื้อขายจำนวนมาก เช่น Binance, Poloniex, Bitfinex และ HitBTC เป็นต้น
crypto ที่มีเป้าหมายเดียวกันคือ Bitcoin (BTC) Dash (DASH), Ethereum Classic (ETC), Monero (XMR) และอื่น ๆ อีกมากมาย
ความเสียหายที่อาจเกิดขึ้นได้คืออะไร
มัลแวร์ FacexWorm โหลดเข้าสู่ระบบของคุณผ่านทางพอร์ทัลโซเชียลมีเดีย ด้วยเหตุนี้จึงมีหลายวิธีที่จะส่งผลกระทบต่อเหยื่อและตัวตนดิจิทัลของพวกเขา
1) มันสามารถประนีประนอมข้อมูลบัญชีของเหยื่อบนแพลตฟอร์มต่างๆ เช่น Google, Coinhive และหน้าโซเชียลมีเดียอื่นๆ เมื่อจัดการเพื่อเข้าถึงข้อมูลเข้าสู่ระบบของเหยื่อได้ ก็จะส่งข้อมูลทั้งหมดนี้กลับไปยังเซิร์ฟเวอร์หลักและติดตามข้อมูลเดิมต่อไป
2) มันยังมีศักยภาพในการขุด cryptocurrency จากพีซีของเหยื่อ สคริปต์ Coinhive ที่ซับซ้อนมากเกินไปทำงานโดยตรวจไม่พบบนพีซีของเหยื่อ สคริปต์นี้เชื่อมต่อกับกลุ่ม CoinHive โดยใช้พลังของพีซีของเหยื่อในการขุด cryptos สำหรับกระเป๋าเงินของแฮ็กเกอร์ ปริมาณการใช้พีซีถูกจำกัดไว้ที่ 20% แต่ในตัวมันเองจะมีค่าไฟเพิ่มอีก 20% ที่เหยื่อต้องจ่าย
3) FacexWorm มีศักยภาพในการมีส่วนร่วมกับเหยื่อโดยไม่เต็มใจในการหลอกลวง cryptocurrency ด้วยความช่วยเหลือของรายละเอียดบัญชีในการกำจัดมัลแวร์ มันใช้คำหลักเช่น Blockchain, Bitcoin, Ethereum, Ripple เป็นต้น และนำมันไปยังหน้าหลอกลวงอื่นที่เตรียมไว้ล่วงหน้า หน้าหลอกลวงมีการอ้างสิทธิ์ปลอมของผู้ชนะที่คาดว่าจะส่ง 0.5 ถึง 10 อีเธอร์ (ETH) ไปยังที่อยู่กระเป๋าเงินของผู้โจมตี และได้รับผลตอบแทนสูงถึง 5 ถึง 100 ETH หมายเหตุ:นี่เป็นหนึ่งในรูปแบบการหลอกลวง cryptocurrency ที่พบบ่อยที่สุดในตลาด 4) เมื่อเหยื่อเข้าถึงเว็บไซต์ มีโอกาสสูงที่ Facexworm จะแสดงเว็บไซต์พร็อกซีที่มีชื่อเดียวกัน ผู้โจมตีระบุไซต์พร็อกซีเหล่านี้เป็นลิงก์อ้างอิงของเว็บไซต์ดั้งเดิม เมื่อทำสิ่งนี้ ผู้โจมตีจะได้รับสิ่งจูงใจจากการอ้างอิง เว็บไซต์ไม่กี่แห่งที่ถูกกำหนดเป้าหมายในลักษณะเดียวกัน ได้แก่ DigitalOcean, Binance, HashFlare และ FreeBitco.in เป็นต้น
สรุป:ระวัง!
แม้ว่าจะไม่มีรายงานมากมายเกี่ยวกับผู้ที่ตกเป็นเหยื่อในปัจจุบัน แต่ FacexWorm ก็มีศักยภาพที่จะเป็นหนึ่งในมัลแวร์ที่สร้างความเสียหายได้มากที่สุด มีศักยภาพในการประนีประนอมข้อมูลประจำตัวดิจิทัลหนึ่งรายการและอาจทำลายกระเป๋าเงินดิจิทัลในระยะยาว เราแนะนำให้ผู้อ่านระวังก่อนที่จะคลิกข้อความดังกล่าวที่พวกเขาอาจได้รับบน Facebook Messenger โดยไม่คำนึงถึงชื่อผู้ส่ง
