全球领先的网络安全和应用交付解决方案提供商Radware公司在上周四(5月10日)发出警告称,一个由该公司的两名安全研究人员Adi Raff 和Yuval Shapira最近发现的新型恶意软件家族已经在全球100多个国家感染了超过10万设备,而感染的载体竟然是Chrome 插件(谷歌浏览器插件)。
Radware公司将这个恶意软件家族命名为“Nigelthorn”,因为它滥用了一款名为“Nigelify” 的合法Chrome 插件。两名安全研究人员表示,遭到滥用的Chrome 插件不仅限于Nigelify,还包括其他6款插件。它们分别是PwnerLike、Alt-j、Fix-case、Divinity 2 Original Sin: Wiki Skill Popup、keeprivate 和 iHabno。
进一步的调查结果显示,Nigelthorn背后的运营团队至少从今年3月份以来就一直保持活跃。截止到目前为止,它已经被证实感染了全球100多个国家,并有超过10万名Windows和Linux用户成为了其受害者。超过75%的受害者位于菲律宾、委内瑞拉和厄瓜多尔,而剩余的25%分布在其他97个国家。
Adi Raff 和Yuval Shapira解释说,这起恶意软件传播活动是通过Facebook上的社交工程链接进行的。一旦受害者点击了这些链接,将会被重定向到一个虚假的YouTube页面,并被要求安装Chrome插件以播放视频。
如果受害者接受安装,恶意插件就会被添加到他们的浏览器中,而此时受害者的设备便会感染Nigelthorn恶意软件。不仅如此,受感染设备还将被注册到僵尸网络中,成为僵尸网络的一部分。
需要指出的是,Nigelthorn恶意软件需要依赖于Chrome浏览器,并在Windows和Linux上运行。因此,Radware公司相信不使用 Chrome 浏览器的用户将不会面临感染风险。
Nigelthorn恶意软件本身专注于窃取Facebook登录凭证和Instagram Cookie,也会将受害者重定向到Facebook API以生成访问令牌,然后将其发送到命名和控制(C&C)服务器。另外,它还会部署一个加密货币挖矿脚本,目标指向了三种不同的加密货币:门罗币(Monero)、百特币(Bytecoin)和 Electronuem 代币。
Radware公司表示,截至到上周四,在6天的时间里,Nigelthorn背后的运营团队已经挖取到大约价值1000美元的加密货币,而其中大部分都来自门罗币采矿池。
在收到Radware公司之后,目前这些恶意插件已经从 Chrome 商店被移除。不过,Radware公司表示,已经有越来越多的恶意软件开始利用Facebook Messenger和Chrome插件来进行传播。例如,最近被报道的Facexworm以及在去年年底被报道的Digimine。
恶意插件能够进入Chrome 商店是一个严重的威胁,因为即使用于传播Nigelthorn的插件,或者用于传播其他已知恶意软件的插件已经被删除,但必然会有更新以及更加先进的恶意软件同样能够在未来通过Chrome 商店使众多计算机用户成为感染受害者。
Radware公司表示,Chrome团队似乎有必要为减轻这种威胁付出自己的努力,而对于普通用户而言,使用相对复杂的密码以及仅从可信来源下载应用程序仍然会是保护自己的最佳预防措施。