Menú

Nigelthorn: El malware que mina y roba credenciales de Facebook

La firma de seguridad cibernética Radware mencionó en una publicación de blog el jueves que Nigelthorn es una nueva campaña que se centra en la red social de Facebook.

Se ha descubierto una nueva campaña de malware en Facebook que no solo roba las credenciales de la cuenta sino que también instala scripts para la minería encubierta de criptomonedas.

Nigelthorn fue descubierto en mayo de este año y ha infectado a más de 100.000 usuarios de Facebook en más de 100 países hasta la fecha. Nigelthorn también es capaz de robar las cookies de Instagram si las encuentra.

La mayoría de las infecciones se han producido en Filipinas, Venezuela y Ecuador.

El porque del nombre “Nigelthorn”

El malware se llama así debido al abuso de una extensión legítima de Google Chrome llamada “Nigelify”, que reemplaza las imágenes mostradas en una página web con imágenes de Nigel Thornberry, un personaje de dibujos animados del programa de televisión The Wild Thornberrys.

Cómo se propaga:

Se está propagando a través de la red social a través de la ingeniería social y los mensajes privados y pretende engañar a los usuarios para que descarguen malware con el propósito de robarle la cuenta, cryptojacking y realizar fraudes de clics.

Si la víctima hace clic, el enlace malicioso redirecciona a las víctimas a una página de YouTube falsa que solicita a los usuarios que instalen una extensión de Google Chrome para reproducir el contenido de video.

Youtube

Pero un momento, esto nos recuerda a FacexWorm, a excepción de que este malware no roba nuestras criptomonedas, hace lo siguiente:

  • Para pasar las verificaciones de validación de Google, Nigelthorn crea copias de las extensiones legítimas e inyecta guiones maliciosos cortos, ofuscados dentro de ellas.
  • Luego de Añadir dicha extensión se instala una extensión maliciosa y el sistema de la víctima se agrega a una botnet.
  • También redireccionan a la víctima a Facebook para generar un token de sesión y secuestrar su sesión en línea para absorber sus credenciales de cuenta de Facebook y enviarlas al servidor de comando y control (C & C).
  • También permite que el malware envíe mensajes en su lugar y se propague aún más.
  • Finalizando con la instalación de la extensión entra en juego el JavaScript malicioso. Este script se descarga desde el servidor de C & C y luego se instala una herramienta cryptomining.
  • Por último fuerza a la máquina de la víctima a minar secretamente criptomonedas, de las cuales los ingresos se envían a grupos mineros controlados por el atacante.

Nigelthorn tiene una serie de técnicas para retener la persistencia en la máquina de la víctima, al abrir la pestaña de extensiones el malware se cierra, impide que los usuarios descarguen las herramientas para limpiar Facebook y Chrome, eliminando las publicaciones de Facebook y haciendo comentarios.

Mientras tanto Google Chrome afirma

“Eliminamos las extensiones maliciosas de Chrome Web Store y los navegadores del pequeño porcentaje de usuarios afectados pocas horas después de ser alertados”.

Otras cuatro extensiones fueron detectadas por los sistemas de seguridad de Google y se eliminaron en menos de 24 horas.