Согласно информации издания The Independent, японская компания по кибербезопасности Trend Micro обнаружила вредоносное ПО, которое заражает Facebook Messenger и тайно майнит криптовалюту. Бот для майнинга Digmine, в фоновом режиме использует ресурсы процессора для майнинга Monero.
Вредоносная программа обычно замаскирована в видеофайле с именем video_xxxx.zip и исходит от кого-либо из вашего списка контактов мессенджера, чей компьютер уже скомпрометирован. Причем вирус активируется только через компьютерную версию мессенджера в Chrome и в настоящее время не влияет на мобильные версии Facebook Messenger.
Помимо майнинга, вирус предоставляет хакерам доступ к списку контактов в Facebook, и дальше рассылается по этому списку. Но это возможно в том случае, если учетная запись настроена на автоматический вход в систему. На данный момент вирус не получает других данных аккаунта и может только распространяться дальше, но злоумышленники могут продолжать над вирусом, чтобы получать полный доступ к аккаунту.
Digimine в первую очередь устанавливает майнер с именем miner.exe, который является модифицированной версией майнера XMRig. Бот также устанавливает механизм автозапуска Chrome, через который происходит доступ к списку контактов и дальнейшая рассылка вируса. Не смотря на то, что расширения для Chrome могут быть установлены только через официальный интернет-магазин Chrome, хакеры обошли это ограничение, запуская браузер вместе с вредоносным расширением через командную строку.
Расширение может так же открыть поддельный сайт в интернете, на котором воспроизводится зараженное видео. Сайт маскируется под сервис видео-стриминга, но на деле содержит множество других конфигураций для вируса.