新型惡意軟體Nigelthorn通過Facebook和Chrome插件傳播

「用指尖改變世界」

全球領先的網路安全和應用交付解決方案提供商Radware公司在上周四（5月10日）發出警告稱，一個由該公司的兩名安全研究人員Adi Raff 和Yuval Shapira最近發現的新型惡意軟體家族已經在全球100多個國家感染了超過10萬設備，而感染的載體竟然是Chrome 插件（谷歌瀏覽器插件）。

Radware公司將這個惡意軟體家族命名為「Nigelthorn」，因為它濫用了一款名為「Nigelify」 的合法Chrome 插件。兩名安全研究人員表示，遭到濫用的Chrome 插件不僅限於Nigelify，還包括其他6款插件。它們分別是PwnerLike、Alt-j、Fix-case、Divinity 2 Original Sin: Wiki Skill Popup、keeprivate 和 iHabno。

進一步的調查結果顯示，Nigelthorn背後的運營團隊至少從今年3月份以來就一直保持活躍。截止到目前為止，它已經被證實感染了全球100多個國家，並有超過10萬名Windows和Linux用戶成為了其受害者。超過75％的受害者位於菲律賓、委內瑞拉和厄瓜多，而剩餘的25％分布在其他97個國家。

Adi Raff 和Yuval Shapira解釋說，這起惡意軟體傳播活動是通過Facebook上的社交工程鏈接進行的。一旦受害者點擊了這些鏈接，將會被重定向到一個虛假的YouTube頁面，並被要求安裝Chrome插件以播放視頻。

如果受害者接受安裝，惡意插件就會被添加到他們的瀏覽器中，而此時受害者的設備便會感染Nigelthorn惡意軟體。不僅如此，受感染設備還將被註冊到殭屍網路中，成為殭屍網路的一部分。

需要指出的是，Nigelthorn惡意軟體需要依賴於Chrome瀏覽器，並在Windows和Linux上運行。因此，Radware公司相信不使用 Chrome 瀏覽器的用戶將不會面臨感染風險。

Nigelthorn惡意軟體本身專註於竊取Facebook登錄憑證和Instagram Cookie，也會將受害者重定向到Facebook API以生成訪問令牌，然後將其發送到命名和控制（C＆C）伺服器。另外，它還會部署一個加密貨幣挖礦腳本，目標指向了三種不同的加密貨幣：門羅幣（Monero）、百特幣（Bytecoin）和 Electronuem 代幣。

Radware公司表示，截至到上周四，在6天的時間裡，Nigelthorn背後的運營團隊已經挖取到大約價值1000美元的加密貨幣，而其中大部分都來自門羅幣採礦池。

在收到Radware公司之後，目前這些惡意插件已經從 Chrome 商店被移除。不過，Radware公司表示，已經有越來越多的惡意軟體開始利用Facebook Messenger和Chrome插件來進行傳播。例如，最近被報道的Facexworm以及在去年年底被報道的Digimine。

惡意插件能夠進入Chrome 商店是一個嚴重的威脅，因為即使用於傳播Nigelthorn的插件，或者用於傳播其他已知惡意軟體的插件已經被刪除，但必然會有更新以及更加先進的惡意軟體同樣能夠在未來通過Chrome 商店使眾多計算機用戶成為感染受害者。

Radware公司表示，Chrome團隊似乎有必要為減輕這種威脅付出自己的努力，而對於普通用戶而言，使用相對複雜的密碼以及僅從可信來源下載應用程序仍然會是保護自己的最佳預防措施。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！