加密货币病毒通过Facebook Messenger大肆传播

如果你收到一个视频文件（放在一个压缩文件包中），发件人为facebook上的某个人或朋友，千万不要点！

Trend Mocro的安全研究员警告用户，一种新型加密货币挖矿僵尸网络正在通过Facebook Messenger大肆传播，目标为使用Google Chrome桌面的用户，利用最近价格疯涨的加密货币。

这个门罗币挖矿僵尸网络——Digmine，伪装成一个名为“video_xxxx.zip”，未嵌入的视频文件（如截图所示），但实际文件中包含一个AutoIt 可执行脚本。

一旦用户点击，恶意软件会立即感染用户电脑，并从远程C&C服务器上下载其他组件和相关配置文件。

Digimine 会首先下载一个加密货币挖矿软件miner.exe——门罗币的流行开源挖矿软件XMRig的修改版本，以便黑客在后台利用受感染电脑的CPU挖矿。

除了矿机，Digimine还安装了一个自动启动机制，并推出了一种Chrome恶意扩展，允许攻击者访问受害者的Facebook的个人主页，并通过Messenger将同样的恶意软件文件传播给他们的朋友。

由于Chrome扩展只能通过Chrome官方Web Store 来安装，“攻击者通过命令行启动加载了恶意扩展的Chrome，来绕过这个问题。”

该扩展将从C&C服务器读取自身配置。它可以指导这个扩展，要么继续登录Facebook，要么打开一个可以播放视频的假页面，”趋势微研究人员说。

这个视频的诱饵网站也是其C&C结构的一部分。该网站伪装成一个视频流网站，为恶意软件的组件添加了很多配置。”

由于矿工是由C&C服务器控制的，Digiminer背后的操作者随时可以升级他们的恶意软件，甚至在一夜之间增加不同的功能。

Digmine最初是在韩国被发现，后期将目标扩展到越南、阿塞拜疆、乌克兰、菲律宾、泰国和委内瑞拉。但自从Facebook Messenger在全球范围内使用以来，这种机器人在全球范围内传播的可能性便大大增加。

Facebook已将其网站上大部分恶意软件删除。

Facebook垃圾邮件活动非常普遍。因此，建议用户在点击社交媒体网站提供的链接和文件时，保持警惕。