Facebook Messengeren terjed az a kártevő, amely jelszavakat, kriptovalutát lop, és kriptovaluta bányászására is használja számítógépünket. A G DATA szakemberei azt javasolják, óvatosan a linkekkel!

Tavaly augusztusban fedezték fel először a Messengeren link formájában terjedő kártevőt, egy kis szünet után pedig idén áprilisban újból terjedni kezdett a FaceWomx nevű féreg. Az ismerőseinktől érkező üzenetben egy link található, mely egy hamis YouTube csatornára viszi a felhasználót. Itt bűnözők egy Google Chrome kiterjesztés telepítésére buzdítanak – azt hazudva, a videót csak akkor lehet megnézni, ha a kiegészítőt telepítjük. A kiegészítő a FaceWormx nevű kérget is telepíti, amely hozzáférést kér a felhasználótól adatainkhoz. Ezután a kártevő belép Facebook oldalunkra, ismerőseinknek tovább küldi magát Messenger üzenetben – vagyis féregként terjed tovább.

Szabályos kiegészítő, extrákkal

A férget megvizsgáló kutatók szerint, ha a link nem a Google Chrome böngészőben nyílik meg, akkor egy hirdetéseket tartalmazó oldal nyílik meg.

A FaceWormx egyébként egy szabványos Google Chrome kiegészítő, kártékony kóddal kiegészítve. Amiután települt, minden alkalommal, mikor kinyitjuk a böngészőt és új weboldalra látogatunk, friss JavaScript kódot tölt le a gépünkre. Ez a friss kód sok mindennel próbálkozik, de első körben jelszavaink ellopása a cél. Ha a kártevő látja, hogy a felhasználó kriptovalutával kereskedik, akkor egy hamis weboldal ugrik fel, mely arra kéri, hogy küldjen 0,5 -10 Ether kriptovalutát virtuális pénztárcájának ellenőrzése miatt. Noha az ígérik, az elküldött összeg dupláját küldik vissza, a kutatók szerint ennek az átverésnek cikkünk írásáig senki sem dőlt be.

Nem érdemes telepíteni a hamis böngészőkiegészítőt!

Sziszifuszi harc az eltávolítás

A FaceWormX egy kriptovaluta bányász alkalmazással is megfertőzi böngészőnket. A bányász alkalmazást úgy programozták, hogy a processzor teljesítményének csupán 20 százalékát használja – így a hűtő ventillátor nem süvít folyamatosan, működése hosszú ideig rejtve marad a felhasználó előtt. De ha fel is fedezi a felhasználó, hogy egy fertőzött Google Chrome kiegészítő csücsül a gépen, az alkalmazás mindig bezárja a kiegészítők menedzselését (eltávolítását) lehetővé tévő oldalt.

Ahogy a Google Play áruházban, a Google Chrome kiegészítőket tartalmazó oldalról is folyamatosan távolítják el a szakemberek a fertőzött kiegészítőket, de azok nagyon hamar, más név alatt vissza is kerülnek, így sziszifuszi munka az ellenük folytatott harc. A jó hír, hogy a Facebook-nál egy sor automatizmus harcol a Messengeren terjedő kártevő ellen, a fertőzött gépeknek meg ingyenes átvizsgálást ígért a közösségi oldal.

A G DATA szakértői azt javasolják, óvatosan az ismerősöktől érkező linkekkel is, mielőtt rákattintanánk, győződjünk meg, hogy tényleg ők küldték nekünk a vicces videóhoz a hivatkozást. Ehhez elég visszakérdezni: “Ezt te küldted?”

Forrás: a ZDNET cikke