FacexWorm hat Kryptowährungs-Handelsplattformen im Visier

Originalbeitrag von Joseph C Chen, Fraud Researcher

Die Sicherheitsforscher des Cyber Safety Solutions Teams von Trend Micro haben eine bösartige Chrome Extension gefunden. Der FacexWorm genannte Schädling nutzt eine Mischung aus verschiedenen Techniken und hat den Zugriff auf Kryptowährungs-Handelsplattformen über einen Browser im Visier. Er verbreitet sich über den Facebook Messenger. Nur wenige Nutzer sind von dieser bösartigen Extension betroffen, und Chrome hat viele bereits entfernt.

FacexWorm ist nicht neu. Entdeckt wurde er im August 2017, wobei Einzelheiten zum Wie und Warum unklar blieben. Am 8. April jedoch bemerkten die Forscher eine Spitze in seinen Aktivitäten, und zwar gleichzeitig mit Reports zum Wiederauftauchen in Deutschland, Tunesien, Japan, Taiwan, Südkorea und Spanien.

Die Analyse zeigt, dass die Fähigkeiten von FacexWorm überarbeitet wurden. Er hat die Routine zum Auflisten und Verschicken von, mit Social Engineering-Taktiken versehenen Links an Freunde eines betroffenen Facebook-Kontos beibehalten. Doch jetzt kann er auch Konten und Einwahlinformationen von FacexWorms Websites stehlen. Auch leitet er potenzielle Opfer auf Kryptowährungs-Scams um, fügt bösartige Mining Codes in die Webseite ein, leitet um auf Links für weitere Kryptowährungs-Programme des Angreifers und kapert Transaktionen auf Handelsplattformen und Web-Wallets, indem er die Empfängeradresse mit der des Angreifers austauscht.

Zwar fanden die Forscher bei der Überprüfung der Adresse/Wallets des Angreifers lediglich eine kompromittierte Bitcoin-Transaktion, doch wissen sie nicht, wieviel durch bösartiges Web Mining verdient wurde.

Bild 1. FacexWorm-Infektionskette

Verbreitung

FacexWorm wird über Links verbreitet, die mit Social Engineering-Hintergrund versehen sind und an den Facebook Messenger geschickt werden. Die Links leiten auf eine Fake YouTube-Seite um, die den Nutzer auffordert, einer Codec Extension (FacexWorm) zuzustimmen und sie zu installieren, um das Video auf der Seite abzuspielen. Danach wird die Berechtigung für den Zugriff und Änderung von Daten auf der geöffneten Website angefordert.

Bild 2. Fake YouTube-Seite fordert Nutzer auf, FacexWorm zu installieren

Bild 3. Beispiel einer von FacexWorm gesendeten Nachricht

Nach der Installation und den gewährten Berechtigungen lädt FacexWorm zusätzlichen bösartigen Code von seinem Command-&-Control (C&C)-Server und öffnet die Website von Facebook. Sobald die Extension dies merkt, prüft sie beim C&C-Server, ob die Verbreitungsfunktion aktiviert ist. Ist dies der Fall, so fordert FacexWorm einen OAuth-Zugriffs-Token von Facebook an. Technische Einzelheiten zur Vorgehensweise beinhaltet der Originalbeitrag.

Zu den bösartigen Verhaltensweisen von FacexWorm zählen die folgenden:

  • Stiehlt die Kontozugangsdaten für Google, MyMonero und Coinhive — Sobald der Schädling feststellt, dass die Login-Seite der anvisierten Website geöffnet ist, fügt er eine Funktion ein, die die Zugangsdaten, nachdem diese in das entsprechende Formular eingegeben wurden und der Login-Knopf gedrückt ist, an seinen C&C-Server schickt.
  • Stößt einen Kryptowährungs-Betrug an — Stellt FacexWorm fest, dass der Nutzer auf eine der 52 Kryptowährungs-Handelplattformen zugreift oder Schlüsselbegriffe wie „blockchain”, „eth-” oder „ethereum” in die URL eingibt, leitet er das Opfer auf eine Betrugsseite um. Hier wird der Nutzer dazu „überredet“, zum Zweck der Überprüfung 0,5 – 10 Ether (ETH) an die Adresse des Angreifer-Wallets zu schicken. Er erhält das Versprechen, 5 – 100 ETH zurück zu erhalten. Nutzer können sich dagegen wehren, indem sie die Seite schließen und wieder öffnen, um den normalen Zugriff auf die Original-Website wieder herzustellen. Das funktioniert, weil die bösartige Extension einen Timestamp Cookie reserviert, der eine Umleitung auf die Scam-Seite innerhalb einer Stunde verhindert. Die Umleitung wird wieder aufgenommen, wenn auf die für FacexWorm interessanten Webseiten erneut zugegriffen wird. Die Forscher fanden bislang niemand, der ETH an die Angreiferadresse gesendet hatte.
  • Bösartiges Web-Kryptowährungs-Mining — FacexWorm fügt auch einen JavaScript Miner in vom Opfer geöffnete Webseiten ein. Der Miner ist ein verstecktes Coinhive-Skript, das mit einem Coinhive Pool verbunden ist. Auf der Grundlage der Settings des Skripts ist der Miner darauf ausgerichtet, 20% der CPU-Leistung jedes Threats des betroffenen Systems abzuzweigen und vier Threads für Mining zu öffnen.
  • Kapern von Kryptowährungs-bezogenen Transaktionen — Sobald das Opfer die Transaktionsseite einer Kryptowährungs-bezogenen Website öffnet, findet FacexWorm die eingegebene Adresse und ersetzt sie mit einer des Angreifers. Dies gilt für die Handelsplattformen Poloniex, HitBTC, Bitfinex, Ethfinex und Binance sowie für das Wallet Blockchain.info. Die betroffenen Währungen sind Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) und Monero (XMR). Bislang fanden die Forscher nur eine einzige gekaperte Bitcoin-Transaktion (Wert 2,49$).
  • Einnahmen aus Kryptowährungs-bezogenen Verweisprogrammen — Greift das Opfer auf eine anvisierte Website zu, so leitet FacexWorm die Seite um auf den vom Angreifer angegebenen Verweis-Link auf derselben Site. Für jedes Opfer erhält der Angreifer eine gewisse Summe. Zu den anvisierten Websites gehören Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in und HashFlare.



Bild 4. Webseite des Kryptowährungs-Scams

Weitere Einzelheiten liefert der Originalbeitrag.

Mögliche Gegenmaßnahmen

Auch wenn der Angreifer immer wieder versucht, neue FacexWorm Extensions in den Chrome Web Store zu laden, werden diese punktuell wieder aus dem Store entfernt. Auch kann der Facebook Messenger bösartige, mit Social Engineering-Techniken versehene Links erkennen und die Verbreitung des betroffenen Kontos blocken. Darüber hinaus sollten aber Nutzer gute Sicherheitsverhaltensweisen praktizieren, um nicht zum Opfer zu werden. Das bedeutet, erst denken, dann teilen, Vorsicht walten lassen bei nicht angeforderten oder verdächtigen Nachrichten, sowie das Aktivieren strenger Vertraulichkeits-Settings.

Trend Micro hat die Ergebnisse an Facebook weitergegeben. Wir haben mit der Firma eine proaktive Cybersicherheits-Partnerschaft.

Indicators of Compromise sind im Originalbeitrag enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*