セキュリティ企業のトレンドマイクロは、Facebook Messenger を通じて拡散している新たな仮想通貨マイニングボット「Digmine」を発見したと発表した。
このボットは韓国で最初に出現し、その後、ベトナム、アゼルバイジャン、ウクライナ、フィリピン、タイ、ベネズエラに拡散しました。トレンドマイクロは、この拡散速度から判断すると、近いうちにさらに多くの国に広がると予測しています。
Digmineの仕組み
トレンドマイクロによると、Digmineは現在デスクトップ版のみで動作するため、モバイルユーザーはこのボットの影響を受けないという。このマルウェアは、無防備な被害者には動画ファイルのように見えるが、実際には実行可能なスクリプトである。ユーザーがデスクトップ版のFacebookアカウントに自動ログインするように設定している場合、マルウェアはユーザーに代わってログインし、偽の「動画」へのリンクを介してFacebook上の友達全員に拡散する。
このマルウェアはコマンドアンドコントロール(C2)サーバーを介して更新されるため、将来的には感染したFacebookアカウントのさらなる制御など、より破壊的な機能を獲得する可能性があります。Digmineボットは、他の仮想通貨マイニングマルウェアと同様に、仮想通貨のマイニングに使用できるCPUまたはGPUサイクル数を最大化するために、被害者のコンピュータにできるだけ長く留まろうとします。
感染連鎖
Digmineの実行可能スクリプトは、ユーザーのマシンにインストールされた後、C2サーバーから追加コンポーネントをダウンロードするダウンローダーファイルです。追加コンポーネントは%appdata%\<username>ディレクトリに保存されます。
Digmineはその後、レジストリの自動起動メカニズムのインストールなどの他のアクションを実行し、悪意のある拡張機能をChromeに読み込みます。拡張機能は通常、Chromeウェブストアからのみインストールできますが、マルウェアの作成者はコマンドライン経由でこの制限を回避します。
ブラウザ拡張機能は、Digmineマイナーが被害者のFacebookの友達に拡散するのを助けます。ユーザーがFacebookアカウントに自動ログインするように設定している場合、この拡張機能はユーザーのFacebookデータ(連絡先リストなど)にアクセスできるようになります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
推奨事項
Digmine の被害に遭わないために、トレンドマイクロは、使用していないアカウントからログアウトする、ソーシャル メディア アカウントに接続されているアプリを削除する、強力なパスワードと 2 要素認証を使用する、共有されているリンクの一部にマルウェアが含まれている可能性があることに注意するなど、ソーシャル メディアのベスト プラクティスに従うことを推奨しています。
セキュリティ企業はDigmineボットをFacebookに開示し、Facebookは直ちにプラットフォームからボットのリンクの多くを削除しました。Facebookはまた、ユーザーのコンピュータがマルウェアに感染している疑いがある場合、提携企業による無料のウイルス対策スキャンを提供すると述べています。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
