FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播

FacexWorm 透過 Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁,要求不知情的使用者同意並安裝一個解碼器擴充功能(FacexWorm)以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

 

趨勢科技的網路安全產品團隊發現了一個惡意的Chrome擴充功能,將其命名為FacexWorm,它利用了多項技術來針對受影響瀏覽器所連到的虛擬貨幣交易平台,並且會透過Facebook Messenger散播。到目前為止只有少量使用者受到這惡意擴充功能影響,Chrome在趨勢科技警告前就已經移除許多這類的擴充功能。

 

FacexWorm並不新。它在2017年8月被發現,儘管當時它的意圖尚不明朗。但我們在4月8日注意到其突然出現密集的活動,這與德國突尼西亞日本台灣韓國西班牙出現FacexWorm的外部報告一致。

我們的分析顯示FacexWorm的功能已經翻新。它保留了跟Digmine一樣會上傳和發送社交工程(social engineering)連結到受影響Facebook帳號好友的行為。但現在它還可以竊取FacexWorm所感興趣的網站帳號密碼。還能夠將受害者導向虛擬貨幣詐騙攻擊、將惡意挖礦程式碼注入網頁、重新導向攻擊者的虛擬貨幣推薦計劃連結,並且可以接收地址換成攻擊者的地址來劫持交易平台和網路錢包的交易。

雖然在檢查攻擊者地址錢包後,至今只發現一起比特幣交易被FacexWorm劫持,但我們不知道它利用惡意網頁挖礦賺得多少。

圖1、FacexWorm的感染鏈

 

散播

 

FacexWorm透過Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁,要求不知情的使用者同意並安裝一個解碼器擴充功能(FacexWorm)以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

圖2、假YouTube網頁要求使用者安裝FacexWorm

圖3、FacexWorm所發送訊息的範例

一旦安裝並取得權限,FacexWorm會從命令與控制(C&C)伺服器下載更多惡意程式碼並開啟Facebook網站。一旦擴充功能偵測到Facebook開啟,就會再次連上C&C伺服器來檢查散播功能是否啟用。

 

如果啟用,FacexWorm會向Facebook要求OAuth存取權杖。接著對Facebook進行一連串的查詢來取得該帳號的好友列表,並將假YouTube影片連結發送給處在線上或閒置狀態的聯絡人。如果是用Chrome電腦版以外的瀏覽器訪問,惡意連結會轉向隨機廣告。

 

惡意行為

 

FacexWorm是一個普通Chrome擴充功能的山寨版,不過注入了包含惡意行為的簡短程式碼。它會在開啟瀏覽器時從C&C伺服器下載其他JavaScript程式碼。每當受害者開啟新網頁,FacexWorm就會查詢C&C伺服器來尋找並取得另一個JavaScript程式碼(放在Github檔案庫)並在網頁執行。

圖4、FacexWorm C&C連線的流量模式

 

以下是FacexWorm的惡意行為:

 

  • 竊取Google、MyMonero和Coinhive的使用者帳號密碼 – 一旦FacexWorm偵測到目標網站的登入頁面,就會注入一個功能,在填好帳號密碼並按下登入鍵後將帳號密碼送到C&C伺服器。
  • 派送虛擬貨幣詐騙 – 當FacexWorm偵測到使用者連上所針對52個虛擬貨幣交易平台中的任何一個,或是在網址輸入“blockchain”、“eth-”或“ethereum”等關鍵字時,它會將受害者導向一個詐騙網頁。它會誘騙使用者發送5到10以太坊(ETH)到攻擊者錢包地址進行驗證,並承諾會返還5到100以太坊。使用者只要關閉頁面並重新打開該頁面就能恢復對原始網站的正常訪問。這是因為惡意擴充功能會在Cookie內保留時間戳記,以防止在一個小時內被重複導到詐騙網頁。但如果再次訪問FacexWorm所感興趣的網頁就會回復重新導向行為。我們到目前為止還沒有看到任何人將以太坊發送給攻擊者地址。
  • 進行惡意網路虛擬貨幣挖礦 – FacexWorm還會注入JavaScript挖礦程式到受害者開啟的網頁。挖礦程式是連到Coinhive池的混淆過Coinhive腳本。根據腳本的設定,挖礦程式會讓每個執行緒使用受影響系統CPU運算能力的20%,並且開四個執行緒來在網頁進行挖礦。
  • 劫持虛擬貨幣相關交易 – 一旦受害者在虛擬貨幣網站開啟交易頁面,FacexWorm會尋找受害者輸入的地址並替換成攻擊者指定的地址。FacexWorm會在交易平台Poloniex、HitBTC、Bitfinex、Ethfinex和Binance以及錢包info上這樣做。被針對的虛擬貨幣包括比特幣(BTC)、比特幣黃金(BTG)、比特幣現金(BCH)、達世幣(DASH)、以太坊(ETH)、以太坊經典(ETC)、瑞波幣(XRP)、萊特幣(LTC),Zcash(ZEC)和門羅幣(XMR)。當我們檢查攻擊者地址(直到4月19日)時,我們發現只有一個比特幣交易(價值2.49美元)被劫持。
  • 從虛擬貨幣推薦計劃中賺取 – 如果受害者連到目標網站,FacexWorm會將網頁導向到攻擊者在同一網站的推薦連結。攻擊者可以收到每個受害者註冊帳號的推薦獎勵。目標網站包括Binance、DigitalOcean、in、FreeDoge.co.in和HashFlare。

圖5、虛擬貨幣詐騙網頁

圖6、FacexWorm惡意腳本內的Coinhive設定(已經去混淆)

圖7、FacexWorm的惡意腳本(已經去混淆)置換比特幣地址(上圖);置換地址的網頁範例(下圖)

圖8、FacexWorm劫持的比特幣交易

圖9、FacexWorm如何將推薦碼加入使用者可能連上的目標網站

 

持久性機制

 

FacexWorm實作一種機制來防止受害者從瀏覽器移除惡意擴充功能。如果FacexWorm偵測到使用者要透過“chrome://extensions/”進入Chrome擴充功能管理頁面,就會馬上關閉開啟的分頁。其他惡意擴充功能(例如DroidClub殭屍網路)也採用阻止使用者進入Chrome管理頁面的作法(不過DroidClub並未關閉分頁,而是替換成假管理頁面)。

 

圖10、FacexWorm惡意腳本(已經去混淆)顯示它如何與C&C伺服器通訊並關閉Chrome的擴充功能管理頁面

 

緩解措施

 

儘管攻擊者不斷嘗試上傳新的FacexWorm擴充功能到Chrome網路商店,但我們發現它們也馬上就被商店移除。我們還注意到Facebook Messenger可以偵測惡意社交工程連結並適時阻止受影響帳號的散播行為。這些做法都有助於消弭FacexWorm惡意行為和散播技術所造成的影響。使用者還應該要建立良好的安全習慣來避免遇上類似的威脅:分享之前先三思,小心那些不請自來或可疑的訊息,並且替社群媒體帳號啟用更加嚴格的隱私設定。

 

我們與Facebook是積極的網路安全合作夥伴,也將這調查結果披露給他們。他們也一起地共同努力來打擊像FacexWorm這樣的威脅:“我們維護了許多自動化系統以協助阻止有害連結和檔案出現在Facebook和Messenger上。如果我們懷疑你的電腦了惡意軟體,我們將提供你來自可靠合作夥伴的免費防毒掃描。我們在facebook.com/help上分享如何保持安全並連到這些掃描工具的說明。“

 

入侵指標

 

與FacexWorm(SHA-256)相關的CRX檔案雜湊值:

  • 008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371
  • 3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5
  • 22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f
  • ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635
  • 026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91

 

與FacexWorm相關的Chrome擴充功能ID

  • akoefpoebeaikfcpoghppjcnhklffcjm
  • ecfpnbgianoaiocjciahnkfognimimhf
  • fanjaialdpcmadoodgppaaaldpccaedc
  • jolmnflkapibjdpmiiofkopkdgklckll
  • kojocamkjcbpcnibahfhomfjnliglfeo

 

與FacexWorm詐騙相關的網域:

  • video-sig[.]blogspot[.]com
  • video-goyd[.]blogspot[.]com
  • vido[.]vigor[.]design
  • dot[.]filmnag[.]com
  • filmnag[.]com

 

與FacexWorm相關的C&C網域:

  • dirg[.]me
  • seap[.]co
  • roes[.]me
  • ijocire[.]bid
  • pingli[.]bid
  • upej[.]date
  • jsapi[.]me
  • jsdo[.]bid
  • uef[.]date
  • uto[.]date
  • dnseat[.]us
  • ikesa[.]date
  • yci[.]date

 

@原文出處:FacexWorm Targets Cryptocurrency Trading Platforms, Abuses Facebook Messenger for Propagation 作者:Joseph C Chen(網路詐騙研究員)