Utilizan Facebook Messenger sobre Chrome para esparcir malware de minado de criptomonedas

El minado malicioso de criptodivisas es una tendencia que va en auge, y como hablamos de una acción que se lleva a cabo de forma no ética, cualquier procedimiento termina siendo válido independientemente del perjuicio ocasionado.

Investigadores en seguridad de Trend Micro han reportado que un bot para minar criptomonedas está siendo esparcido mediante Facebook Messenger para ir contra los usuarios de Google Chrome para Windows. Con el nombre de Digmine, se dedica a minar la criptodivisa Monero y se distribuye mediante un falso fichero vídeo (ya que en realidad es un ejecutable) que se encuentra dentro de un fichero comprimido en zip, el cual tiene un script ejecutable escrito en AutoIt.

Una vez se haya abierto el fichero comprimido, el malware infecta la computadora de la vícitma y descarga los componentes relacionados con los ficheros de configuración y el servidor de mando y control. Entre los componentes se encuentra una versión modificada del minero de Monero Open Source XMRig, que se dedica a minar en segundo plano para los hackers utilizando los recursos de los ordenadores infectados.

El motivo de por qué este malware se apoya en Google Chrome es debido a que, además del programa de minado, Digmine se encarga de instalar una extensión maliciosa en el navegador que se inicia junto a la aplicación. La extensión se encarga de dirigir el proceso de minado y de seguir esparciendo el malware entre los contactos que la víctima tenga en Facebook Messenger.

Recordamos que Google decidió impedir la instalación de extensiones de fuera de la Chrome Store hace años, por lo que los hackers tienen que ingeniárselas para saltarse dicho mecanismo de protección, algo que en este caso realizan mediante líneas de comandos según Trend Micro. El servidor de mando y control puede dar instrucciones como acceder a la cuenta de Facebook de la víctima o abrir una página web falsa que carga un vídeo, siendo esta en realidad es un proceso de descarga de las configuraciones para los componentes del malware. También puede realizar otras tareas como actualizar el malware y añadir nuevas funcionalidades.

Digmine está infectando sobre todo a usuarios de Corea del Sur, Vietnam, Azerbaiyán, Ucrania, Tailandia y Venezuela, aunque al ser un software específico para Windows, no está afectando a los usuarios de la aplicación Facebook Messenger para las plataformas móviles. La compañía tras la conocida red social ya ha anunciado que detendrá esta campaña de malware cuanto antes.

Fuente: The Hacker News