FaceXWorm: Das Wichtigste zum neuen Mining-Virus im Facebook Messenger

Roman Maas

Die Sicherheitsfirma Trend Micro hat einen neuen Virus identifiziert, der sich über den Facebook Messenger verbreitet. Er betreibt unter anderem Mining und sammelt Zugangsdaten für Krypto-Handelsplätze. Der FaceXWorm hat sich über eine manipulierte Chrome-Extension Zugang auf fremde Rechner verschafft.

Die Schadsoftware geht ähnlich wie der Mining-Virus Digmine vor und verbreitet sich über Nachrichten im Facebook Messenger. Allerdings ist FaceXWorm wesentlich fortgeschrittener und kann mehr Schaden als Digmine verursachen. Die entsprechende Chrome-Extension ist inzwischen blockiert, die Zahl der betroffenen Rechner war laut der Sicherheitsforscher überschaubar. Dennoch stellt diese Technologie weiterhin ein Risiko dar und kann jederzeit wieder in abgewandelter Form auftauchen.

Wie kommt FaceXWorm auf meinen Rechner?

Der Wurm verteilt sich über den von Chrome aus gestarteten Facebook Messenger. Die Betroffenen erhalten zunächst vom Konto einer befreundeten Person eine Nachricht mit einem Link. Dieser führt auf eine Seite, die auf den ersten Blick wie YouTube aussieht, allerdings auf einem ganz anderen Server steht. Dann bittet Chrome darum, eine Erweiterung installieren zu dürfen. Diese soll vermeintlich ein Codec darstellen, um das gewünschte Video abzuspielen. Installieren die Betroffenen dieses Programm, kann FaceXWorm anfangen zu arbeiten. Er verbindet sich umgehend mit seinem Command-and-Control-Server (C&C) und führt schädlichen Code aus.

Was kann FaceXWorm anrichten?

Wie alle Mining-Viren kann auch dieser die Rechenleistung des befallenen PCs ungefragt nutzen, um Kryptowährungen zu schürfen. Dazu nutzt er eine verschleierte Version des Coinhive Scripts. Darüber hinaus hat es der Wurm auf ein paar andere Dinge abgesehen:

Zugangsdaten stehlen: Stellt FaceXWorm fest, dass der Nutzer Login-Seiten zu Google, MyMonero oder Coinhive öffnet, startet er eine Funktion. Diese speichert die Zugangsdaten bei der Eingabe und schickt sie an seinen C&C-Server.

Kryptowährungs-Scam: Die Software erkennt, wenn der Nutzer eine von 52 für sie interessante Handelsplattformen ansteuert oder Suchworte wie Blockchain oder Ethereum eingibt. Dann leitet sie den Verkehr auf eine eigene Seite um, bei der ein „lukrativer“ Ethereum-Deal angeboten wird.

In Krypto-Transaktionen eingreifen: Wenn ein Opfer eine Transaktionsseite für Krypto-Handel öffnet, registriert der Wurm dies und fügt seine eigene Wallet-Adresse in das Empfänger-Feld ein. Bisher war diese Methode allerdings nur einmal erfolgreich, 2,49 US-Dollar haben so laut Trend Micro unrechtmäßig den Besitzer gewechselt.

Referral-Programme manipulieren: Die Software ist in der Lage, den Nutzer unbemerkt auf eigene Referral-Seiten umzuleiten, wenn er ausgewählte Webseiten im Kryptobereich ansteuert.

Wie kann ich mich vor Mining-Viren schützen?

Wie bei den meisten Viren ist die eigene Aufmerksamkeit das wichtigste Werkzeug bei der Vorsorge. Ungefragt von Freunden empfangene Links ohne jeglichen Kommentar sollte man nicht einfach so folgen. Ein Blick auf die URL, die sich bei einem fragwürdigen Link öffnet, lohnt sich. Stimmt sie nicht mit der anvisierten Seite überein, sollten die Alarmglocken schellen. Das gleiche gilt für Browser-Erweiterungen, die vermeintlich installiert werden müssen, um bestimmte Inhalte sehen zu können. Im Zweifel kann man immer den Namen des Programms mit dem Zusatz „Virus“ googlen und schauen, was sich dahinter verbirgt.

BTC-ECHO

 

Source: BTC-ECHO

Der Beitrag FaceXWorm: Das Wichtigste zum neuen Mining-Virus im Facebook Messenger erschien zuerst auf BTC-ECHO.