Eulogic Blog
Le ultime news dal mondo ICT
L’estensione di Chrome che ruba Bitcoin e le credenziali di Facebook
FacexWorm torna all’attacco
Le estensioni dei browser sono un gran comodità, perché arricchiscono il programma di base di numerose, pratiche funzioni, ma bisogna fare molta attenzione a ciò che si installa.
Di recente i ricercatori di Trend Micro hanno scoperto l’ennesima estensione pericolosa per Google Chrome: si basa su un malware conosciuto, noto come FacexWorm, e il suo scopo è intercettare e deviare le transazioni in BitCoin, oltre a sottrarre le credenziali di Facebook.
Il malware in sé è vecchiotto: è apparso per la prima volta nell’agosto del 2017, e nell’aprile del 2018 è riemerso dopo un periodo di attività relativamente contenuta.
Inizialmente, FacexWorm si diffondeva tramite messaggi di phishing inviati tramite Facebook Messenger: con essi cercava di convincere gli utenti a scaricare un’estensione pericolosa per Google Chrome che si spacciava per una Vpn.
Ora il comportamento è un po’ diverso: si diffonde sempre via Facebook (ma non più soltanto tramite il Messenger) e invia l’utente a una falsa pagina di YouTube, la quale – con la più classica delle truffe – presenta un messaggio d’errore, invitando l’utente a scaricare una fantomatica estensione con dei codec aggiornati.
L’estensione, naturalmente, non ha nulla a che fare con dei codec ma contiene il malware vero e proprio, il quale poi sfrutta Chrome per cercare di sottrarre le credenziali dei siti sui quali l’utente è registrato, con una preferenza particolare per il social network in blu.
Con l’accesso a Facebook, infatti, può postare i suoi messaggi di phishing impersonando l’utente cui ha sottratto nome e password.
Inoltre, come già ricordavamo, il malware modifica le pagine web che gestiscono le transazioni Bitcoin sostituendo l’indirizzo del destinatario con quello del suo creatore, il quale riceve così i pagamenti.
FacexWorm ha un’ultima tecnica di attacco: sui Pc sui quali è installato, redirige ogni ricerca relativa alle criptovalute fatta con il browser verso una pagina che chiede all’utente di versare una certa cifra.
Fortunatamente, finora nessuno pare essere caduto in un tranello così scoperto.
Dato che FacexWorm sfrutta delle false estensioni di Chrome per diffondersi, Google s’è attivata per rimuovere rapidamente quelle coinvolte; tuttavia, i creatori del malware sono lesti a introdurne di nuove, dando vita a una caccia senza fine.
Gli utenti faranno quindi bene a porre la massima attenzione nel valutare le estensioni che hanno intenzione di adottare, e anche nell’esaminare i link che vengono loro inviati su Facebook.
Ti è piaciuto l'articolo? Lascia pure la tua opinione!
| Eulogic S.r.l. | |
| Sede BARI Via Junipero Serra,13 70125 Bari |
|
 +39.0802149609 +39.0802140685 |
|
 info@eulogic.it |
|
 lavora con noi |
Associati con
Eulogic sponsor di Interact 202130 Agosto 2021 - 17:49- WordPress: siti infettati con una backdoor Linux6 Gennaio 2023 - 10:33
- Il più grande marketplace di malware mobile identificato da Resecurity nel Dark Web19 Dicembre 2022 - 6:02
- Internet Explorer è ancora un valido vettore di attacco zero-day9 Dicembre 2022 - 20:36
