User หลายๆประเทศเจอ malware ที่ช่ือว่า Digmine ที่แพร่ผ่าน Facebook Manager โดยเมื่อติดตั้งสำเร็จจะติดตั้งทั้ง Cryptocurrency Miner และ malicious Chrome Extension

เหยื่อจะได้รับ file ที่ชื่อว่า video_xxxx.zip โดย xxxx จะเป็นเลข 4 digit ซึ่งจะพยายามหลอกว่าเป็น video แต่จริงๆแล้วมันคือ exe file หาก user ที่ไม่ระวังก็จะติด malware ตัวนี้ได้ง่าย

ตัว malware ถูกเขียนด้วย AutoIt และมี feature เล็กๆที่จะติดต่อไปยัง C&C Server เพื่อรับคำสั่งอีกที

ทางนักวิจัยทางด้านความปลอดภัยของเกาหลีใต้และ Trend Micro กล่าวว่า C&C Server ดังกล่าวจะมีการส่ง Monero miner และ Chrome extension กลับมาให้ตัว Digmine malware

อีกทั้งตัว Digmine จะกระทำการแก้ไข registry เพื่อให้ malware นั้น autostart อีกด้วย

ส่วนตัว Chrome Extension ดังกล่าวจะไม่ได้ติดตั้งโดยตรงกับ Chrome แต่ใช้วิธีไปเปลี่ยนคำสั่ง (command line) ใน Short cut ของ Chrome แทน ทำให้ user รัน Chrome พร้อมกับนำ Chrome extension นั้นโหลดมาด้วยเลย แต่พอไปดูใน Chrome extension list จะกลับว่าไม่มีอะไรผิดปกติ

ตัว extension ดังกล่าวจะมีการเข้าถึง Facebook Messenger profile และทำการส่ง private message ไปยัง contact ใดๆของเหยื่อโดยส่งเป็นไฟล์ video_xxxx.zip ไปให้ ซึ่งการกระทำดังกล่าวจะกระทำได้ก็ต่อเมื่อมีการกำหนดให้ Chrome ทำ autologin Facebook account ไว้ หาก user ไม่ได้กระทำการจำ password ไว้ใน Chrome ตัว extension นี้ก็จะทำงานไม่สำเร็จ

โดยอย่างที่กล่าวไปแล้วว่าภายใน file video_xxxx.zip นั้นจะมี EXE file อยู่ ซึ่งนั่นหมายความว่า Digmine นั้นจะทำงานได้เฉพาะบน Windows เท่านั้น ซึ่งตอนแรกเริ่มจากเกาหลีใต้ แล้วต่อมาจึงเริ่มเห็นการแพร่กระจายไปยัง เวียดนาม, Azerbaijan, ยูเครน, ฟิลิปปิน, ไทยและ Venezuela.

ทาง Trend Micro ได้ติดต่อ Facebook เพื่อให้ Facebook ทำการ remove link ที่เป็นอันตรายออกจาก Messenger ของ user ทั้งหมดให้ แต่จริงๆแล้ว Digmine ก็มีความเป็นไปได้ที่จะเปลี่ยนช่องทางการติดต่อเช่นกัน

ทาง Facebook กล่าวว่า “เรามีตัว automated systems เพื่อหยุด link อันตราย และ file ที่แพร่ผ่าน Facebook และ Messenger หากเราคาดว่า Computer นั้นติด malware เราจะเสนอ free anti-virus scan จาก trusted partners ของเรา. และเราแชร์เรื่องวิธีการเอาตัวรอด เพื่อให้บุคคลทั่วไปปลอดภัยและ link สำหรับ scanner ใน facebook.com/help”.

Source:: BleepingComputer