Malware Nigelthorn již napadl více než 100 000 systémů ve 100 zemích zneužitím rozšíření Google Chrome nazvaného Nigelify.

Nový kmen malware, nazvaný Nigelthorn, protože zneužívá rozšíření Google Chrome Nigelify, již infikoval více než 100 000 systémů ve 100 zemích, většinou na Filipínách, ve Venezuele a v Ekvádoru (více než 75%).

Nová rodina škodlivého softwaru je schopna krádeže pověsti, kryptotěžby, podvodů na kliknutí a dalších škodlivých aktivit.

Podle odborníků je kampaň aktivní alespoň od března roku 2018.

Malware Nigelthorn se šíří prostřednictvím odkazů na Facebooku, oběti jsou přesměrovány na falešnou stránku YouTube, která je požádá o stažení a instalaci rozšíření pro přehrávání videa. Jakmile oběti přijmou instalaci, bude do prohlížeče přidáno škodlivé rozšíření.

Malware byl speciálně vyvinut pro cílení na počítače se systémem Windows a Linux pomocí prohlížeče Chrome.

Po instalaci škodlivého rozšíření je spuštěn JavaScript, který spustí útok stahováním konfigurace škodlivého softwaru z příkazového a řídicího serveru (C & C), po kterém je nasazena sada požadavků.

Malware Nigelthorn je schopen ukrást přihlašovací údaje na Facebook a soubory cookie Instagram. Malware také přesměruje uživatele na Facebook API a vygeneruje přístupový token, který je pak odeslán na servery C & C.

Malware propagovaný pomocí ukradených pověření, posílá škodlivý odkaz na síť oběti buď prostřednictvím zpráv ve Facebooku Messengeru, nebo prostřednictvím nového příspěvku, který obsahuje tagy až pro 50 kontaktů.

Malware Nigelthorn také stáhne do počítače oběti nástroj na kryptotěžbu založený na algoritmu „CryptoNight“, který umožňuje těžbu pomocí libovolného procesoru, a těží tak Monero, Bytecoin a Electroneum.

Zdroj: securityaffairs.co