Investigadores de seguridad nuevamente están alertando a los usuarios sobre nuevas campañas de distribución de malware, la ultima campaña descubierta ha estado activa desde marzo de este año y ya lleva mas de 100.000 usuarios infectados en todo el mundo.
Apodado como Nigelthorn, el malware es distribuido rápidamente a través de ingeniería social en Facebook, haciendo que el usuario instale extensiones dañinas en los navegadores web con el fin de robar credenciales en redes sociales, realizar minería de criptomonedas y realizar estafa mediante fraude.
El malware ha sido detectado en siete extensiones diferentes de Chrome. Todas estas hosteadas en el sitio oficial de Google Chrome web Store.
Estas extensiones maliciosas fueron descubiertas por investigadores de la firma de CiberSeguridad Radware, después de una revisión de seguridad de uno de sus clientes, y detectaron que este ya estaba comprometido.
Versión legítima a la izquierda, versión maliciosa a la derecha |
Propagación
El malware es distribuido mediante ingeniería social en Facebook. Los links que son publicados en esta plataforma redirigen al usuario a un sitio falso de Youtube, solicitándole al usuario que instale una extensión de Chrome para que este pueda seguir viendo el video.
Una vez instalado, la extensión ejecuta un código malicioso en JavaScript el cual transforma el equipo infectado en parte de una botnet.
Acciones
Este malware centra su foco de robo en cuentas de Facebook y de Instagram y colecta información desde esas cuentas, cosa de poder reenviar links maliciosos a sus amigos y asi poder extender la distirbución del malware.
NigelThorn también descarga una herramienta de minería de criptomonedas basada en navegador, disponible públicamente, como un complemento para activar los sistemas infectados y comenzar a extraer criptomonedas, como Monero, Bytecoin o Electroneum.