Эксперты компании Radware предупредили о новой вредоносной кампании, в рамках которой злоумышленники через ссылки в социальной сети Facebook распространяют вредоносное ПО Nigelthorn, способное красть учетные данные пользователей и устанавливать майнеры криптовалюты.
Исследователи обнаружили 7 вредоносных расширений для Google Chrome, содержащих Nigelthorn, причем все они были размещены в официальном магазине Chrome Web Store.
Вредоносная кампания активна по меньшей мере с марта нынешнего года. С момента ее начала от Nigelthorn пострадало более 100 тыс. пользователей по всему миру. По данным Radware, злоумышленники внедряют вредоносный скрипт в копии легитимных расширений и таким образом обходят проверку Google. Вредонос маскируется под следующие расширения: Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno.
Nigelthorn распространяется через ссылки в Facebook, при переходе по которым пользователи попадают на фальшивую страницу в YouTube, предлагающую загрузить расширения для дальнейшего просмотра видео. После установки вредоносное расширение выполняет скрипт JavaScript, в результате устройство пользователя становится частью ботнета. Основная задача вредоноса заключается в краже учетных данных для аккаунтов жертвы в Facebook и Instagram и хищения содержащейся в них информации. Данные сведения используются для отправки вредоносных ссылок друзьям пользователя.
Кроме прочего, Nigelthorn загружает и устанавливает майнер криптовалюты для добычи цифровых средств, в том числе Monero, Bytecoin или Electroneum. По данным исследователей, за 6 дней операторам вредоноса удалось заработать примерно $1 тыс. в криптовалюте, в основном в Monero.
Вредонос препятствует удалению вредоносного расширения, автоматически закрывая его вкладку. Кроме того, Nigelthorn вносит в черный список все инструменты для очистки, предлагаемые Facebook и Google, а также не позволяет пользователям делать изменения, удалять публикации или оставлять комментарии.
В настоящее время все указанные выше расширения уже удалены из Chrome Web Store. Пользователям, загрузившим какое-либо из расширений, рекомендуется деинсталлировать его и сменить все пароли для Facebook, Instagram и других сервисов, где используются те же учетные данные.
