Modo Nocturno

Un robot minero de Monero se está extendiendo a través de Facebook Messenger

Si has interactuado con Facebook, es posible que hayas tenido problemas con bots de spam que infesten tu perfil (o los perfiles de tus amigos) y publiques enlaces o publicidades sin tu permiso. Bueno, el mismo malware que les dice a tus amigos: “Mira este enlace para obtener un 90% de descuento en un par de Ray Ban BRAND NEW. ¡WOW!”

Ahora se está utilizando para extraer criptomonedas.

Un cliente descargado ejecuta un software de minería que aporta potencia de hash al servidor de origen del malware. Sin darse cuenta, los usuarios de Facebook pueden haber descargado este bot a través de enlaces compartidos en Facebook Messenger.

Podría estar extrayendo criptomonedas sin siquiera saberlo, todo debido a un robot de minería distribuido a través de Facebook Messenger.

Lenart Bermejo y Hsia-Yu Shih originalmente cubrieron la revelación en un informe de Trend Micro. El malware, llamado Digimine, se originó en Corea del Sur, se propaga a través de la aplicación de mensajería de Facebook y se usa para extraer a Monero. El bot está confinado al cliente de escritorio de Messenger y su extensión de navegador Chrome.

Si abre el malware en otra plataforma, como la aplicación móvil de Facebook Messenger, su dispositivo no estará infectado. El informe indicó que el único sustituto del robot es Messenger en este momento, pero advirtió que “no sería inverosímil que los atacantes secuestraran la cuenta de Facebook a sí mismos más adelante”.

Al igual que otros programas maliciosos, Digimine solo se puede descargar activando su enlace fuente. Enmascarado como un archivo de video, Digimine está codificado en AutoIT, un lenguaje de scripts gratuito diseñado para Windows. Si abre el archivo de video falso, su computadora comenzará a ejecutar el script ejecutable de AutoIT, y si tiene el inicio de sesión automático habilitado, el bot enviará automáticamente el malware a sus amigos de Facebook a través de Messenger.

Una vez que comienza a ejecutar el software, una computadora infectada se conecta al servidor de comando y control del malware. Este servidor asigna toda la potencia informática de los dispositivos infectados con el fin de extraer Monero, una popular moneda de privacidad. Cuantas más computadoras se infecten, mayor será el hashrate para las operaciones mineras centrales, lo que significa que los orquestadores de Digimine pueden esperar un día de pago más gordo.

Hasta ahora, Trend Micro ha rastreado este malware a Vietnam, Azerbaiyán, Ucrania, Filipinas, Tailandia y Venezuela, agregando la advertencia: “No es lejano para Digimine llegar a otros países dada la forma en que se propaga”.

En respuesta al desarrollo, Facebook emitió la siguiente declaración:

“Mantenemos varios sistemas automatizados para ayudar a evitar que los enlaces y archivos dañinos aparezcan en Facebook y en Messenger”.

Si sospechamos que su computadora está infectada con malware, le proporcionaremos un análisis antivirus gratuito de nuestros socios de confianza”.

En el informe, Trend Micro reveló que los enlaces maliciosos pueden incluir los siguientes términos:

[highlight color=”yellow”]vijus [.] Bid, ozivu [.] Bid, thisdayfunnyday [.] Space, thisaworkstation [.] Space, mybigthink [.] Space, mokuz [. ] oferta, pabus [.] oferta, yezav [.] oferta, bigih [.] oferta, taraz [.] oferta, megu [.] información.[/highlight]

El informe también enumera una serie de indicadores que pueden ayudar a determinar si un dispositivo ha sido infectado o no. Por ejemplo, si descargara el malware mientras usaba la extensión de Chrome de Facebook, el malware terminaría y luego volvería a iniciar Chrome para cargar Digimine.

Si cree que su computadora está infectada, puede visitar facebook.com/help para obtener sugerencias e información sobre cómo seguir adelante.

Fuente de la noticia e investigación trendmicro.com