Haber Detayı

Facebook Üzerinden Yayılan Kripto Para Zararlı Yazılımına Dikkat!
Okunma : 385 gokhan.sakar1 13.05.2018 02:24:52
 Süresiz Yayın ferhat.yildirim1 16.07.2018 03:24:58

Sosyal medya için günümüz de en çok kullanılan internet sitelerinden birisi kukşkusuz Facebook'tur. Özellikle son zamanlarda Facebook Messenger kullanımı ile blirlikte yaygınlaşan video paylaşımları ile artık bir çok tehditle önplana çıktı. Kimi zaman tanıdığınız, kimi zaman tanımadığınız kişilerden gelen video adreslerine tıklamadan önce artık 2 kez düşünmekte fayda var.

Siber güvenlik araştırmacaları, Facebook Messenger üzerinden yayılan ve hesapların kimlik bilgilerini çalmak için kripto para birimi ticaret platformlarını hedefleyen kötü amaçlı bir "Google Chrome" internet tarayıcısı eklentisi hakkında, kullanıcıları uyarıyor!

 

Geliştirilmiş FacexWorn zararlı yazılımı, geçtiğimiz yılın ağustos ayında ortaya çıkmasına rağmen, siber güvenlik uzmanları bu yazılıma yeni özellikler eklendiğini belirtti.

Bu özellikler arasında;

  • Google ve Kripto Para birimi sitelerine ait internet sitelerinden hesap kimlik bilgilerini çalmak,
  • Mağdurları kripto-para birimi üretmek için, bu para kazımı yapanları tespit etmek,
  • Kripto para birimi üyelik sistemi ile ilgili referans adresler vererek bunlar üzerinden kazanç sağlamak olarak bahsedilebilir.

Tabiki, FacexWorm, Facebook Messenger üzerinden kendi kendine (solucan gibi) yayılan ilk kötü amaçlı yazılım değildir.

 

Geçtiğimiz yılın sonuna doğru Siber Güvenlik Araştırmacıları tarafından, Facebok Messenger üzerinden yayılan ve Windows bilgisayarları ile kripto para birimi madenciliği için kullanan Digmine olarak adlandırılan bir monere-kripto-para-birimi madencilik botu keşfettiler.

 

Tıpkı Digmine gibi, FacexWorn 'da Facebook Messenger üzerinden sosyal mühendislik ile oluşturulmuş adresleri tanıdıklarınıza yollayarak sahte YouTube ve benxeri sitelere yönlendirir.

 

FacexWorm zararlı yazılımının sadece Google Chrome kullanıcılarını hedef alan bir zararlı yazılım olduğunu da belirtmek gerekir.

 

FacexWorm Zararlı Yazılımı Nasıl Çalışıyor?

Chrome internet tarayıcısı kullanıyorsanız ve bu zararlı video bağlantısına tıklarsanız, FacexWorm sizi sahte bir YouTube sayfasına yönlendiriyor, bu sayfadaki videoyu oynatmaya başladığınız zaman ise, zararlı yazılım bir Chrome video eklentisi olarak yükleniyor.

Bu zararlı yazılım bir kez yüklendikten sonra, Komuta & Kontrol (C&C) sunucusuyla iletişime geçerek, ithiyacı olan diğer zararlı dosyaları indirmeye başlıyor.

Siber Güvenlik araştırmacılarına göre; "FacexWorm zararlı yazılımı aslında standart bir Chrome Eklentisinin birebir kopyası fakat içine eklenmiş olan ufak kod parçacıkları ile Komuta & Kontrol Sunucusuna bağlanmasına izin vererek,bilgisayarınıza çok daha tehlikeli yazılımlar kurmakta."

Bilgisayarına zararlı yazılım bulaşmış olan kurban, her yeni bir internet sayfası açtığında, FacexWorm zararlı yazılımı, Komuta & Kontrol (C&C) sunucusuyla iletişime geçerek, başka bir JavaScript kodunu bulur ve bu internet sayfasındaki davranışlara göre kodları çalıştırır.

Ek olarak, bu zararlı yazılım yükleme sırasında tüm yönetici izinlerinide aldığı için, kullanıcının açtığı tüm internet sitelerindeki verilerine erişebilir ya da bunları değiştirebilir.

  • Kendisini bir solucan gibi yaymak için, zararlı yazlımım kurbanın Facebook hesabına OAuth erişim belirtecini talep eder ve bunun ardından kurbanın arkadaş listesindeki herkese, sahte YouTube sayfasının adresini yollar.
  • Zararlı yazılım kurbanın Google, MyMonero ve Coinhive internet sitelerinin giriş sayfalarına girdiğinde, kullanıcının hesap bilgilerini farkettirmeden ele geçirir.
  • Daha sonra, bulaştığı bilgisayardaki açılan bütün web sitelerine kriptopara üretici kodları enjekte eder böylece kurbanın bilgisayarının işlem gücünü kullanarak üzerinden kriptopara üretmeye başlar.
  • Kurban'ın bu bilgisayar ile kripto para transferleri var ise, bu hedef hesabın adresini kendi hesap adresiyle değiştirerek, transferin kullanıcı farkında olmadan kendi hesabına geçirir.
  • Kullanıcı Poloniex,HitBTC, Bitfinex, Ethfinex,Biance ve Blockchain.info gibi 52 kriptopara cüzdan/ticaret sitelerine girdiği zaman, zararlı yazılım kurbanın dijital cüzdanını çalmak için sahte bir sayfaya yönlendirir.
  • Zararlı yazılım, kurban bilgisayarında tespit edilmeyi engellemek için, kullanıcı eğer Chrome ayarlarındaki Eklentiler yerine girerse, bu sayfayı kullanıcıya göstermeden direk kapatır.
  • Ayrıca Biance, DigitalOcean, FreeBitco.in gibi sitelere kullanıcı girip kayıt olmaya çalışırken, saldırganın referans kodunu farketmeden alır, böylece kullanıcı bu sitelere kayıt olurken, saldırgan aynı zamanda referans kodu kullanıldığı için ekstra kazanç sağlar.

 

 

FacexWorm ve Benzeri Zararlı Yazılımlardan Nasıl Korunuz?

 

  • Öncelikli olarak, T.C. Sağlık Bakanlığı tarafından, mesai saatleri içinde kurumsal kullanım için tahsis edilen hiçbir makine ile Facebook ve benzeri sosyal medya uygulamalarına girilmemelidir.
  • Sosyal medya uygulamalarından, tanıdığınız ya da tanımadığınız kişilerden gelen hiçbir adres(link) kontrol edilmeden açılmamalıdır.
  • Görünen adres ile yönlenen farklı olup olmadığı kontrol edilmelidir.
  • Şüpheli olan adreslere kesinlikle tıklanmalalıdır.
  • Bu tarz uygulamaları engelleyen diğer internet tarayıcıları kullanılabilir, (Mozilla Firefox / Opera v.b. gibi )
  • Bilgisayarınızda mutlaka lisanslı bir anti-virüs uygulaması olmalı, SBA ağında çalışmıyorsanız mutlaka "internet security" özellikli lisanslı bir anti-virüs yazılımı tercih edilerek, firewall( güvenlik duvarı) özelliği kullanılmalıdır.
  • Bilgisayarınızı periyodik olarak anti-virüs taramasından geçiriniz.
  • İnternet tarayıcınızdaki kullanmadığınız eklentileri kaldırınız.
  • İnternet tarayıcınıza gerekli olmadıkça eklenti kurmayınız.

 

 

 

 

 

 

Kaynaklar:

https://worldnews.easybranches.com/technology/gadgets/facebook-messenger-sees-facexworm-malware-resurface-targets-cryptocurrency-transactions-trend-micro-904053

https://thehackernews.com/2018/05/facebook-cryptocurrency-hacking.html

https://www.2-spyware.com/facexworm-cryptocurrency-mining-virus-spreads-via-facebook-messenger

https://www.bleepingcomputer.com/news/security/facexworm-spreads-via-facebook-messenger-malicious-chrome-extension/

https://www.cyberscoop.com/facexworm-trend-micro-facebook-messenger-cryptocurrency/

https://www.hackread.com/facexworm-malware-steals-cryptocurrency-facebook-credentials/

https://securityaffairs.co/wordpress/72008/malware/facexworm-facebook-messenger.html

https://medium.com/@gerard_blueteam/facexworm-malware-targets-crypto-152b4dfc50b9

https://antivirus.comodo.com/blog/comodo-news/facexworm-malware-targeting-crypto-users/

https://gadgets.ndtv.com/internet/news/facexworm-malware-resurfaces-on-facebook-messenger-targets-cryptocurrency-transactions-1846191

https://www.coininsider.com/facebook-messenger-facexworm-malware/

https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/