พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.zip (โดยที่ xxxx เป็นตัวเลขสี่หลัก) ซึ่งซ่อน EXE ไฟล์เอาไว้ หากผู้ใช้ไม่ระมัดระวัง และทำการรันไฟล์ จะทำให้ติดมัลแวร์ มัลแวร์ตัวนี้ถูกเขียนด้วย AutoIt และมีคุณสมบัติเฉพาะบางอย่างนอกเหนือจากการติดต่อกับ C&C เซิร์ฟเวอร์
นักวิจัยด้านความปลอดภัยของเกาหลีใต้ชื่อ c0nstant และผู้เชี่ยวชาญจาก Trend Micro กล่าวว่า เซิร์ฟเวอร์ C&C ส่งตัวขุดเหรียญ Monero และ Chrome extension กลับไปหาเหยื่อ และมัลแวร์ Digminer มีการเพิ่มกลไกการเริ่มทำงานโดยอัตโนมัติใน Registry-Based หลังจากนั้นจะติดตั้งตัวขุดเหรียญ Monero และ Chrome extension ซึ่งโดยปกติการดาวน์โหลด Chrome extension ทำได้จาก Chrome Web Store เท่านั้น แต่ในกรณีนี้ผู้บุกรุกติดตั้ง Extension ที่เป็นอันตรายผ่านทาง Chrome application command-line
ทั้งนี้ Extension จะถูกใช้เพื่อเข้าถึงโปรไฟล์ Facebook Messenger ของเหยื่อ และส่งข้อความส่วนตัว(video_xxxx.zip) ไปยังผู้ติดต่อทั้งหมดของเหยื่อ นักวิจัยพบว่าจะมีการดาวน์โหลด EXE ไฟล์ไปไว้บนเครื่องเพื่อรัน ทำให้มีผลต่อระบบปฏิบัติการที่เป็น Windows เท่านั้น แคมเปญดังกล่าวมีเป้าหมายแรกเป็นผู้ใช้ชาวเกาหลีใต้ และได้แพร่กระจายไปยังเวียดนาม, อาเซอร์ไบจาน, ยูเครน, เวียดนาม, ฟิลิปปินส์, ไทย และเวเนซุเอลา Facebook ได้ช่วยเหลือผู้ใช้งานโดยจัดการลบลิงก์ที่เป็นอันตรายออกจากการสนทนาบน Messenger ของผู้ใช้แล้ว แต่ในความเป็นจริง Digmine ก็ยังสามารถเปลี่ยนลิงก์ที่ใช้แพร่กระจายตัวเองได้ใหม่และกลับมาแพร่ระบาดได้อีกครั้ง
ที่มา : bleepingcomputer
You must be logged in to post a comment.