背景

研究人员发现一种针对加密货币交易平台的攻击——FacexWorm攻击，该攻击通过Facebook Messenger进行传播。一小部分的用户受到这些恶意扩展到影响，Chrome在Trend Micro发出警告前就移除了部分恶意扩展。

FacexWorm并不是一种新型攻击，早在2017年8月就被发现，但是其工作原理至今仍不明晰。研究人员发现FacexWorm主要活动在德国，日本，台湾，韩国和西班牙等国家。

分析发现FacexWorm的功能有所变化。就像Digmine一样，它保留了通过被黑的Facebook账户列出和发送社会工程链接给好友的功能。但是这个版本它可以窃取FacexWorm感兴趣的网站的账号和身份凭证。还可以让潜在的受害者加入加密货币活动，注入恶意挖矿代码到网页，将用户重定向到攻击者的加密货币相关的推荐程序的链接上，还可以通过替换收款人地址为攻击者的地址来劫持交易平台上进行的交易。

研究人员通过检查攻击者的地址和钱包时，发现了一个FacexWorm黑掉的比特币交易，但是不清楚攻击者从恶意web挖矿中获利了多少。

图1. FacexWorm的感染链

传播

FacexWorm是通过Facebook Messenger发送到社会工程学链接进行传播的。这些链接会将用户重定向到伪造的Youtube页面，假的Youtube页面会要求用户同意和安装一个浏览器扩展应用（FacexWorm）才能在页面上播放视频。接着会请求权限来访问和改变打开网站上的数据。

图2.要求用户安装FacexWorm的假的Youtube页面

图3. FacexWorm发送到消息示例

一旦安装和授予权限后，FacexWorm就会从C2服务器下载恶意代码，并打开Facebook网页。一旦扩展检测到Facebook打开了，就会再次与C2服务器通信来检查增殖功能是否开启。

如果开启，FacexWorm就会从Facebook请求OAuth access token，然后向Facebook执行一系列的请求来获取账号的朋友列表，然后再次发送假的Youtube视频链接给在线或者空闲状态的朋友。当用户通过浏览器而不是Chrome桌面版进行访问时，恶意链接会变成一个随机的广告。

恶意行为

FacexWorm是正常的Chrome扩展的一个克隆，但被注入了含有主路径的短代码。当浏览器打开后，还会从C2服务器下载额外的JS代码。每当受害者打开一个新的页面，FacexWorm就会请求C2服务器来发现并取回另一个JS代码，并在该页面执行JS代码的行为。

图4. Traffic pattern of FacexWorm’s C&C communication

FacexWorm的恶意行为包括：

· 窃取用户Google, MyMonero, Coinhive等应用的账户。一旦FacexWorm检测到攻击网站的登录页打开了，就会注入一个表格填写，点击login按钮后发送凭证到C2服务器的函数。

· 推送加密货币骗局。当FacexWorm检测到用户在访问52个加密货币平台的任意一个，或者用户着URL中输入了blockchain，eth-，ethereum这样的关键词，就会将用户重定向到欺骗网站。还会欺骗用户发送0.5-10 ETH到攻击者钱包来作验证使用，之后会返回5-100 ETH。 用户只要关闭该页面然后重新打开原来的网站（真实网站）就可以恢复正常访问。这是因为恶意扩展会在cookie中保留一个时间戳来防止在1小时再次重定向到欺骗页面。截止目前，研究人员没有发现有用户向攻击者地址发送ETH。

· 执行恶意web加密货币挖矿。FacexWorm会向受害者打开的页面中注入JS挖矿机。挖坑机是与Coinhive池相连的混淆过多Coinhive脚本。根据脚本的设置，挖矿机的每个线程可以使用受害者系统CPU的20%计算力，最多会打开4也挖矿页面。

· 劫持加密货币相关的交易。一旦受害者在加密货币相关的网站打开交易页面，FacexWorm就会定位受害者输入的地址，然后用攻击者的地址来替换。FacexWorm在Poloniex, HitBTC, Bitfinex, Ethfinex, Binance,和Blockchain.info钱包上都执行这样的操作。攻击的加密货币包括BTC,BTG,BCH,DASH,ETH,ETC,XRP,LTC,ZEC,门罗币等。截止4月19日，研究人员发现攻击者只劫持了一笔比特币交易。

· 利用加密货币相关的推荐程序获利。如果受害者访问了目标网址，FacexWorm就会重定向页面到系统网站的攻击者的特定推荐链接。如果受害者注册了账户，攻击者就可以获取推荐的奖励。目标网址包含Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, HashFlare等。

图5. 加密货币欺骗页面

图6. FacexWorm恶意脚本中的Coinhive配置信息

图7. 替换比特币地址的FacexWorm的恶意脚本和被替换地址的web页面的例子

图8. FacexWorm劫持的比特币交易

图9. 当用户访问时，FacexWorm如何添加推荐码到目标网址

驻留机制

FacexWorm还会使用一个机制来避免受害者从浏览器中移除恶意扩展。如果FacexWorm检测到用户打开了Chrome扩展管理页“chrome://extensions/”，就会马上关闭打开的页面。DroidClub僵尸网络也使用这样的方法避免被移除。

图10. FacexWorm与C2服务器进行通信的恶意脚本和关闭Chrome扩展管理页面的恶意脚本

缓解方法

虽然攻击者尝试上传新的FacexWorm扩展到Chrome web商店，但研究人员发现应用商店管理者很快就将其移除了。同时，Facebook Messenger也能检测到恶意的社会工程相关的链接，并拦截受影响账户的繁殖行为。用户平时也应该学习一些安全的上网习惯。

研究人员将发现通报给了Facebook，Facebook回应说有一定数量的自动化系统来拦截Facebook和Messenger中的恶意链接。