- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
Mining virus on Facebook.
If you received a video file (packed compressed in zip archive) a messenger sent by someone to your facebook - just don’t click on it.
Researchers at the Trend Micro cybersecurity company warn users of a new cryptocurrency cryptocurrency mining bot that is distributed via the Facebook messenger and targets Google Chrome users on the desktop to take advantage of the cryptocurrency market situation and a surge in prices.
Dubbed Digmine , the Monero cryptocurrency mining bot disguises itself as a non-embedded video file called video_xxxx.zip (as shown in the screenshot below), but actually contains an executable AutoIt script.
After a “click”, the malware infects the victim’s computer and downloads its components and related configuration files from a remote management server (C & C).
Digimine first installs a cryptocurrency miner, for example Miner.exe - a modified version of the open source Monero miner known as XMRig - which silently miners Monero cryptocurrency in stealth mode for hackers using the processor power of infected computers.
In addition to the cryptocurrency miner, the Digimine bot also installs an autorun mechanism and launches Chrome using a malicious extension that allows attackers to access the victim’s profile on Facebook and distribute the same malicious file to friends from the list via the messenger.
Since Chrome extensions can only be installed through the official Chrome Web Store, “attackers circumvented this by running Chrome (loaded with a malicious extension) through the command line.”
“The extension will read its own configuration from the management server. He may give instructions to extend or continue logging into Facebook, or open a fake page on which the video will play, ”Trend Micro researchers said.
“A bait site that plays videos also serves as part of the management server’s structure. This site is pretending to be a video streaming site, but it also contains many configurations of malware components. ”
It is noteworthy that users who open a malicious video file through the Messenger application on their mobile devices are not affected.
Since the miner is controlled through the management server, Digiminer authors can update their malware to add various features overnight.
Digmine was first spotted when it infected users in South Korea, and has since expanded to Vietnam, Azerbaijan, Ukraine, the Philippines, Thailand, and Venezuela. But since Facebook Messenger is used all over the world, there is an increasing chance that the bot will spread all over the world.
When they were notified by the researchers, Facebook reported that it had removed most of the malicious files from the social networking site.
Facebook spamming is pretty common. Therefore, users are advised to be vigilant when clicking on links and files provided through the platform of the social networking site.
If you received a video file (packed compressed in zip archive) a messenger sent by someone to your facebook - just don’t click on it.
Researchers at the Trend Micro cybersecurity company warn users of a new cryptocurrency cryptocurrency mining bot that is distributed via the Facebook messenger and targets Google Chrome users on the desktop to take advantage of the cryptocurrency market situation and a surge in prices.
Dubbed Digmine , the Monero cryptocurrency mining bot disguises itself as a non-embedded video file called video_xxxx.zip (as shown in the screenshot below), but actually contains an executable AutoIt script.
After a “click”, the malware infects the victim’s computer and downloads its components and related configuration files from a remote management server (C & C).
Digimine first installs a cryptocurrency miner, for example Miner.exe - a modified version of the open source Monero miner known as XMRig - which silently miners Monero cryptocurrency in stealth mode for hackers using the processor power of infected computers.
In addition to the cryptocurrency miner, the Digimine bot also installs an autorun mechanism and launches Chrome using a malicious extension that allows attackers to access the victim’s profile on Facebook and distribute the same malicious file to friends from the list via the messenger.
Since Chrome extensions can only be installed through the official Chrome Web Store, “attackers circumvented this by running Chrome (loaded with a malicious extension) through the command line.”
“The extension will read its own configuration from the management server. He may give instructions to extend or continue logging into Facebook, or open a fake page on which the video will play, ”Trend Micro researchers said.
“A bait site that plays videos also serves as part of the management server’s structure. This site is pretending to be a video streaming site, but it also contains many configurations of malware components. ”
It is noteworthy that users who open a malicious video file through the Messenger application on their mobile devices are not affected.
Since the miner is controlled through the management server, Digiminer authors can update their malware to add various features overnight.
Digmine was first spotted when it infected users in South Korea, and has since expanded to Vietnam, Azerbaijan, Ukraine, the Philippines, Thailand, and Venezuela. But since Facebook Messenger is used all over the world, there is an increasing chance that the bot will spread all over the world.
When they were notified by the researchers, Facebook reported that it had removed most of the malicious files from the social networking site.
Facebook spamming is pretty common. Therefore, users are advised to be vigilant when clicking on links and files provided through the platform of the social networking site.
Original message
Вирус майнинга в Facebook.
Если вы получили видео файл (упакованный сжатый в zip архив) отправленный кем-то на ваш facebook месенджер - просто не кликайте на него.
Исследователи из Trend Micro компании по кибербезопасности, предупреждают пользователей о новом майнинг боте криптовалюты cryptocurrency, который распространяется через Facebook месенджер и нацелен на Google Chrome пользователей на рабочем столе, чтобы воспользоваться ситуацией на рынке криптовалюты и всплеском цен.
Дублированный Digmine, майнинг бот криптовалюты Monero маскируется как не встроенный видеофайл под именем video_xxxx.zip (как показано на скриншоте ниже), но на самом деле содержит исполняемый скрипт AutoIt.
После «клика» вредоносная программа заражает компьютер жертвы и загружает свои компоненты и связанные с ними файлы конфигурации с удаленного сервера управления (C & C).
Digimine в первую очередь устанавливает майнер криптовалюты, например Miner.exe - модифицированную версию майнера Monero с открытым исходным кодом, известный как XMRig, - который тихо майнит криптовалюту Monero в скрытом режиме для хакеров, использующих мощность процессора зараженных компьютеров.
Помимо майнера криптовалюты, бот Digimine, также устанавливает механизм автозапуска и запускает Chrome с помощью вредоносного расширения, которое позволяет злоумышленникам получить доступ к профилю жертвы на Facebook и распространять один и тот же вредоносный файл друзьям из списка через месенджер.
Поскольку расширения Chrome можно установить только через официальный Интернет-магазин Chrome, «злоумышленники обошли это, запустив Chrome (загруженный вредоносным расширением) через командную строку».
«Расширение будет читать свою собственную конфигурацию с сервера управления. Он может дать указание продлить либо продолжить вход в систему Facebook, либо открыть поддельную страницу, на которой будет воспроизводиться видео», - сообщают исследователи Trend Micro.
«Сайт приманка, который воспроизводит видео, также служит частью структуры сервера управления. Этот сайт притворяется сайтом стриминг видео, но также содержит множество конфигураций компонентов вредоносного ПО».
Примечательно, что пользователи, открывающие вредоносный видеофайл через приложение Messenger на своих мобильных устройствах, не пострадали.
Поскольку майнер контролируется через сервер управления, то авторы Digiminer могут обновить свою вредоносную программу, чтобы добавить различные функции за одну ночь.
Digmine был впервые замечен, когда заражал пользователей в Южной Корее, и с тех пор распространил свою деятельность на Вьетнам, Азербайджан, Украину, Филиппины, Таиланд и Венесуэлу. Но поскольку Facebook Messenger используется во всем мире, все больше шансов, что бот будет распространяться по всему миру.
Когда они были уведомлены исследователями, Facebook сообщил, что он удалил большинство вредоносных файлов с сайта социальной сети.
Акции спама в Facebook довольно распространены. Поэтому пользователям рекомендуется проявлять бдительность при нажатии на ссылки и файлы, предоставляемые через платформу сайта социальных сетей
Если вы получили видео файл (упакованный сжатый в zip архив) отправленный кем-то на ваш facebook месенджер - просто не кликайте на него.
Исследователи из Trend Micro компании по кибербезопасности, предупреждают пользователей о новом майнинг боте криптовалюты cryptocurrency, который распространяется через Facebook месенджер и нацелен на Google Chrome пользователей на рабочем столе, чтобы воспользоваться ситуацией на рынке криптовалюты и всплеском цен.
Дублированный Digmine, майнинг бот криптовалюты Monero маскируется как не встроенный видеофайл под именем video_xxxx.zip (как показано на скриншоте ниже), но на самом деле содержит исполняемый скрипт AutoIt.
После «клика» вредоносная программа заражает компьютер жертвы и загружает свои компоненты и связанные с ними файлы конфигурации с удаленного сервера управления (C & C).
Digimine в первую очередь устанавливает майнер криптовалюты, например Miner.exe - модифицированную версию майнера Monero с открытым исходным кодом, известный как XMRig, - который тихо майнит криптовалюту Monero в скрытом режиме для хакеров, использующих мощность процессора зараженных компьютеров.
Помимо майнера криптовалюты, бот Digimine, также устанавливает механизм автозапуска и запускает Chrome с помощью вредоносного расширения, которое позволяет злоумышленникам получить доступ к профилю жертвы на Facebook и распространять один и тот же вредоносный файл друзьям из списка через месенджер.
Поскольку расширения Chrome можно установить только через официальный Интернет-магазин Chrome, «злоумышленники обошли это, запустив Chrome (загруженный вредоносным расширением) через командную строку».
«Расширение будет читать свою собственную конфигурацию с сервера управления. Он может дать указание продлить либо продолжить вход в систему Facebook, либо открыть поддельную страницу, на которой будет воспроизводиться видео», - сообщают исследователи Trend Micro.
«Сайт приманка, который воспроизводит видео, также служит частью структуры сервера управления. Этот сайт притворяется сайтом стриминг видео, но также содержит множество конфигураций компонентов вредоносного ПО».
Примечательно, что пользователи, открывающие вредоносный видеофайл через приложение Messenger на своих мобильных устройствах, не пострадали.
Поскольку майнер контролируется через сервер управления, то авторы Digiminer могут обновить свою вредоносную программу, чтобы добавить различные функции за одну ночь.
Digmine был впервые замечен, когда заражал пользователей в Южной Корее, и с тех пор распространил свою деятельность на Вьетнам, Азербайджан, Украину, Филиппины, Таиланд и Венесуэлу. Но поскольку Facebook Messenger используется во всем мире, все больше шансов, что бот будет распространяться по всему миру.
Когда они были уведомлены исследователями, Facebook сообщил, что он удалил большинство вредоносных файлов с сайта социальной сети.
Акции спама в Facebook довольно распространены. Поэтому пользователям рекомендуется проявлять бдительность при нажатии на ссылки и файлы, предоставляемые через платформу сайта социальных сетей
