FacexWorm通過Facebook Messenger和Chrome擴展傳播

Facebook和Chrome用戶要注意了，最近有一款名叫FacexWorm的病毒，可以竊取密碼，竊取加密貨幣，或者向Facebook用戶發送垃圾郵件。

趨勢科技研究人員於4月底發現這個新病毒，似乎與去年的另外兩起Facebook Messenger垃圾郵件活動有關，而一起發生在8月，另一起發生於2017年12月，後者傳播了Digmine病毒。

FacexWorm的工作方式與前兩次攻擊類似，不過增加了針對加密貨幣的新功能。

FacexWorm如何傳播感染

感染途徑跟之前沒有變化，通常始於用戶通過Facebook Messenger收到的垃圾郵件。

點擊該鏈接後用戶被重定向到一個仿冒的YouTube網頁，這個網頁會讓用戶安裝跟YouTube相關的Chrome擴展程序。

發送垃圾郵件

通過分析這個插件，趨勢科技發現它會向用戶的Chrome瀏覽器添加代碼，以便從登錄表單中竊取密碼。

不過竊取的行為在大部分網站里都不會生效，一旦用戶訪問Google，Coinhive或MyMonero時就會生效。收集的密碼會被發送到FacexWorm的伺服器。

將用戶重定向到假冒頁面

另外，FacexWorm擴展會自動將用戶重定向到假冒的支付頁面，要求用戶發送一小筆以太幣以驗證其帳戶。

只有當用戶嘗試訪問與加密貨幣相關的網站時才會發生重定向。該擴展內附一個列表，裡面有52個目標網站。此外，它還會顯示在網址中還包含「eth」，「ethereum」或「blockchain」等字詞的網站上。

這款擴展還會插入加密挖掘腳本，載入Coinhive瀏覽器中的挖礦腳本。

竊取加密貨幣

另外，這款插件還可以交換交易平台上的收件人信息，交易平台包括Poloniex，HitBTC，Bitfinex，Ethfinex和Binance以及Blockchain.info等。

趨勢科技稱FacexWorm可以替代比特幣（BTC），比特幣黃金（BTG），比特幣現金（BCH），破折號（DASH），ETH，以太坊（ETC），波紋（XRP），萊特幣（LTC），Zcash ZEC）和Monero（XMR）交易，將接收者的地址轉換為FacexWorm惡意軟體創建者擁有的地址。

由於相關惡意行為很快被發現，導致黑客並沒有獲利，通過公開信息查詢，我們只找到一筆價值2.49美元的交易。

最後一招：推廣鏈接

除了上面提到的幾點，FacexWorm還會把用戶重定向到推廣鏈接，這也是病毒獲利的一種方式之一。

趨勢科技表示，他們很早就報告給了Google和Facebook，Chrome商店員工刪除了擴展程序，而Facebook則禁止與垃圾郵件相關的域名，共同阻止了攻擊的擴散。

* 參考來源：BleepingComputer，本文作者Sphinx，轉載註明來自FreeBuf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！