Malware afeta a versão Web do serviço de mensagens e ocorrências já foram observadas em diversos países.
A Trend Micro encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pelo messenger do Facebook, observado pela primeira vez na Coreia do Sul. Batizado pela empresa de segurança como Digmine, o bot foi citado em um relatório de ocorrências recentes relacionadas na Coreia do Sul.
O Digmine foi também observado se disseminando em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. No entanto, o Digmine deve logo chegar em outros países, devido a sua forma de propagação.
O messenger do Facebook funciona em diferentes plataformas, mas o malware afeta apenas a versão do navegador web (Chrome). Se o arquivo for aberto em outras plataformas (por exemplo, celular), o malware não funcionará da forma correta.
Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.
Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C), ou seja, pode ser atualizado.
Cadeia de ataque do Digmine
Um modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.
Etapas da Infecção
O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.
O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.
A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.
O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.
Disseminação
A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.
Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.
Componente de mineração
O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.
O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivo config.json em vez de receber parâmetros diretamente da linha de comando.