El equipo de Trend Micro publicó un informe sobre FacexWorm, un malware que utiliza una extensión del navegador web Google Chrome para robar criptomonedas a través de los equipos infectados.
De acuerdo con el reporte publicado recientemente, FacexWorm se propaga por medio de mensajes enviados con la aplicación de mensajería Facebook Messenger. El malware solo afecta a usuarios de Google Chrome, por lo que, si detecta otro navegador, el usuario es redirigido a un anuncio aparentemente inofensivo.
Este software malicioso apunta hacia las plataformas de trading de criptomonedas a las que se accede desde el navegador infectado. No obstante, gracias a la advertencia de Trend Micro, el porcentaje de usuarios afectados es sumamente bajo “Chrome ya había eliminado muchas de estas extensiones antes de ser alertados”. De hecho, FacexWorm solo pudo capturar una transacción en bitcoins (BTC) antes de que los investigadores publicaran su informe.
[El malware] puede robar cuentas y credenciales de los sitios web de interés de FacexWorm. También redirige a las posibles víctimas a estafas de criptomonedas, inyecta códigos de minería maliciosa en la página web, redirecciona al enlace de referencia del atacante para programas de referencia relacionados con criptomonedas y secuestra transacciones en plataformas de negociación y billeteras web, reemplazando la dirección del destinatario por la del atacante.
Trend Micro
Sumado a la cantidad de formas en que este malware puede atacar a sus víctimas, especialmente en lo referente al uso de criptomonedas y plataformas relacionadas, también tiene la capacidad de robar las credenciales de la cuenta del usuario para Google, MyMonero y Coinhive; por lo que los afectados deben abstenerse de realizar cualquier operación con sus criptoactivos.
FacexWorm ya había sido expuesto en agosto del 2017, luego de que un investigador de Kaspersky Labs recibiera un enlace sospechoso por Facebook Messenger. Sin embargo, esta vez fue identificado debido a una actividad anómala que emergió nuevamente a principios de abril: “El pasado 8 de abril, sin embargo, notamos un aumento en sus actividades que coincidió con informes externos de FacexWorm que emergieron en Alemania, Túnez, Japón, Taiwán, Corea del Sur y España”, se lee en su informe.
Cuando el usuario abre el enlace infectado dentro del mensaje en Facebook, este es redirigido a una página de YouTube falsa que solicitará primeramente la instalación de una extensión para reproducir el video en la página, y luego solicitará privilegios para acceder y cambiar los datos en el sitio web abierto.
Trend Micro señala en su publicación que tiene una alianza con Facebook para trabajar en materia de seguridad, de manera que informaron con inmediatez a la empresa sobre lo que estaba sucediendo en Facebook Messenger. Facebook, por su parte, señaló que actualmente tiene una serie de sistemas automatizados que ayudan a evitar que este tipo de enlaces o archivos maliciosos se propaguen a través de su red. “Si sospechamos que su computadora está infectada con malware, le proporcionaremos un análisis antivirus gratuito de nuestros socios de confianza”, sentenció la empresa.
Los malware siempre están a la orden del día. En marzo, Windows Defender Research publicó un informe sobre minería web en el que aseguran que cada mes, en promedio, unas 644.000 computadoras son infectadas con malware relacionado con la minería de criptomonedas. Además, ESET y Avast alertaron a los usuarios sobre la posibilidad de que dispositivos IoT (conectados a Internet), como los televisores inteligentes, sean afectados por este mismo tipo de malware.
Imagen destacada por: markus dehlzite / stock.adobe.com
