A számítógépes bűnözők előszeretettel használják a Facebookon megjelenő Chrome-bővítmények legitimnek tűnő telepítő ablakait arra, hogy rosszindulatú programokat terjesszenek a neten.

Nemrégiben már mi is beszámoltunk egy ilyen támadásról, most viszont egy újabb, hasonló malware-kampányra figyelmeztetnek a szakemberek. A Nigelthorn nevű kártevő olyan rosszindulatú böngészőbővítményekkel fertőzi meg az áldozatok rendszereit, amelyek azután jelszavakat lopnak.

A malware hét különböző Chrome-bővítményen keresztül terjed, és valamennyi bővítmény legálisan ott van a Chroem Web Store-ban. A rosszindulatú kiterjesztéseket először a Radware kiberbiztonsági cég kutatói fedezték fel, miután egyik (nem megnevezett) ügyfelük, egy globális gyártó cég érintett lett.

Radware

A kártevő terjesztői – állítja a Radware – egy rövid scriptet juttatnak az amúgy rendben lévő bővítménybe, kikerülve a Google bővítmény-ellenőrzését. A Nigelthorn – akárcsak korábban a FacexWorm – egy linken keresztül terjed a Facebookon.

Ha valaki rákattint erre, akkor egy hamis YouTube-oldalra kerül, amely arra kéri a felhasználót, hogy töltsön le egy Chrome-bővítményt. A telepítés után a bővítmény rosszindulatú JavaScriptet futtat, amely akár egy botnet részévé is teheti az áldozat számítógépét. Emellett a malware a felhasználók Facebook- és Instagram-fiókjainak hitelesítőire összepontosít, és megpróbál minél több adatot (felhasználónevet és jelszót) gyűjteni ezekről az oldalakról. Emellett kriptopénz-bányászatot is folytat, ami pedig alaposan leterheli és lassítja a számítógépet.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.