Wenn du einen Videolink von jemandem auf Facebook Messenger bekommst (auch wenn er von einem Freund ist) – klicke ihn nicht an, ohne ein wenig nachzudenken, auch wenn er interessant aussieht.

Forscher für Cybersicherheit von Trend Micro warnen User vor einer bösartigen Chrome Erweiterung, die über Facebook Messenger verbreitet wird und Nutzer von Plattformen zum Handel von Kryptowährungen anvisiert, um ihre Accountdaten zu stehlen.

Die FacexWorm genannte Angriffstechnik der bösartigen Extension ist im August letzten Jahres zum ersten Mal aufgetaucht, aber die Forscher haben Anfang diesen Monats festgestellt, dass die Malware noch ein paar neue, schädliche Fähigkeiten dazu bekommen hat.

Die neuen Fähigkeiten sind unter anderem der Diebstahl von Accountdaten von Webseiten, wie Google und Seiten für Kryptowährungen, die Weiterleitung von Opfern zu Scams mit Kryptowährungen, die Einfügung von Minern auf Webseiten zum Minen von Kryptowährungen, und die Weiterleitung der Opfer zum Empfehlungslink des Angreifers für Empfehlungs-Programme die im Zusammenhang mit Kryptowährungen stehen.

Dies ist nicht die erste Malware, die Facebook Messenger nutzt, um sich wie ein Wurm zu verbreiten.

Letztes Jahr haben Forscher von Trend Micro einen Mining-Bot für die Monero Kryptowährung gefunden, Digmine genannt, der sich über Facebook Messenger verbreitet und Windows Computer sowie Google Chrome für das Mining von Kryptowährung verwendet. Genau wie Digmine arbeitet FacexWorm auch durch den Versand von Links an Freunde von einem befallenen Facebook Account über Messenger, die die Opfer auf gefälschte Versionen von populären Video-Seiten wie YouTube weiterleiten.

Es ist noch zu erwähnen, dass die FacexWorm Erweiterung nur dafür gemacht ist, Chrome Nutzer anzugreifen. Wenn die Malware einen anderen Browser bei dem Opfer erkennt, leitet sie den User zu einer harmlos aussehenden Werbung weiter.

Wie funktioniert die FacexWorm Malware

Wenn der Video-Link mit Chrome geöffnet wird, leitet FacexWorm das Opfer zu einer falschen YouTube Seite weiter, auf der der User ermutigt wird, sich eine Chrome Erweiterung herunterzuladen, die angebliche eine codex Erweiterung ist, um das Video korrekt abzuspielen.

Wenn die FacexWorm Erweiterung erst einmal installiert ist, lädt sie weitere Module von ihrem Server herunter, um verschiedene böswillige Aktionen auszuführen.

„FacexWorm ist eine Kopie einer normalen Chrome Erweiterung, die aber mit einem kurzen Code erweitert wurde, der seine Hauptroutine enthält. Er lädt weiteren JavaScript Code vom C&C Server herunter, wenn der Browser geöffnet ist,“ teilten die Forscher mit.

„Jedes Mal, wenn das Opfer eine neue Webseite öffnet, wird FacexWorm bei seinem C&C Server einen weiteren JavaScript Code an (in einem GitHub Speicher abgelegt) und führt dessen Anweisungen auf dieser Webseite aus.“ Da die Erweiterung alle erweiterten Zugriffsgenehmigungen bei der Installation verlangt, kann die Malware auf die Daten von jeder Webseite, die der User öffnet, zugreifen und diese verändern.

Hier haben wir eine kleine Auflistung von dem, was die FacexWorm Malware kann:

  • Um sich wie ein Wurm weiterzuverbreiten, fordert die Malware ein OAuth Zugriffstoken für den Facebook Account des Opfers an, durch dessen Benutzung sie dann automatisch Zugriff auf die Freundesliste des Opfers erhält und den erwähnten gefälschten YouTube Video-Link an diese versendet.
  • Wenn die Malware erkennt, dass das Opfer die Login-Seite von Google, MyMonero oder Coinhive öffnet, kann sie die Accountdaten des Users stehlen.
  • FacexWorm fügt auch einen Miner für Kryptowährungen auf Webseiten ein, die das Opfer öffnet, welcher die Rechenleistung des PCs des Opfers nutzt um Kryptowährung für die Angreifer zu minen.
  • FacexWorm übernimmt auch die Transaktionen des Users, die mit Kryptowährungen zu tun haben, indem es die vom Opfer eingegebene Adresse erkennt und durch eine vom Angreifer ausgewählte ersetzt.
  • Wenn die Malware erkennt, dass der User eine der 52 Handelsplattformen für Kryptowährungen betritt, oder Keywords wie „blockchain,“ „eth-“ oder „etherum“ in der URL eingebt, wird FacexWorm das Opfer zu einer Scam-Seite für Kryptowährungen weiterleiten, um die Digitale Währung des Opfers zu stehlen. Unter den betroffenen Plattformen sind Poloniex, HitBTC, Bitfinex, Ethfinex und Binance, sowie das Wallet Blockchain.info.
  • Um Entdeckung oder Entfernung zu vermeiden, schließt die FacexWorm Erweiterung sofort den Tab, wenn sie erkennt, dass der User die Seite zur Verwaltung von Chrome Erweiterungen öffnet.
  • Der Angreifer erhält auch jedes Mal einen Werbebonus, wenn das Opfer einen Account bei Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in oder HashFlare eröffnet.

Bis jetzt haben die Forscher bei Trend Micro herausgefunden, dass FacexWorm bis zum 19. April auf mindestens eine Transaktion von Bitcoin (in Höhe von 2,49 $) zugegriffen hat, aber sie wissen nicht, wie viel die Angreifer durch das Webmining verdient haben.

Die von FacexWorm angepeilten Kryptowährungen sind unter anderem Bicoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), und Monero (XMR).

Die FacexWorm Malware ist in Deutschland, Tunesien, Japan, Taiwan, Südkorea und Spanien entdeckt worden. Aber da der Facebook Messenger weltweit genutzt wird, gibt es viele Möglichkeiten für die Malware, sich weltweit zu verbreiten.

Der Chrome Store hatte schon viele der betroffenen Erweiterungen gelöscht, bevor Trend Micro sie kontaktiert hat, aber die Angreifer laden immer wieder welche in den Store hoch.

Facebook Messenger hat auch die Möglichkeit, die gefälschten Links zu erkennen und normalerweise das Verhalten der betroffenen Accounts zur Verbreitung der Malware unterbinden, so die Forscher.

Da Facebook Spam Kampagnen sehr häufig vorkommen, wird Usern geraten, beim Klicken auf Links oder Dateien, die ihnen über die Social Media Plattform geschickt werden, Vorsicht walten zu lassen.