นักวิจัยจาก Trend Micro ค้นพบมัลแวร์สำหรับขุดเหมืองเงินคริปโตตัวใหม่ที่จ้องเล่นงานผู้ใช้ Facebook Messenger โดยเฉพาะ ซึ่งมีชื่อว่า Digmine โดยแฝงปลอมเป็นไฟล์วิดีโอในชื่อคล้ายกับ video_xxxx.zip ซึ่งสามารถติดเชื้อควบคุมทั้งเครื่องได้ถ้าผู้ใช้เปิดไฟล์ดังกล่าวและรันการทำงาน
มัลแวร์ตัวนี้จะติดตั้ง Extension ปลอมบน Chrome เพื่อเข้าถึงโปรไฟล์บนเฟสบุ๊กของเหยื่อ แล้วส่งข้อความที่มีไฟล์มัลแวร์ไปยังผู้ติดต่อตามรายชื่อที่มีทุกคน แต่อย่างไรก็ดี เหมือนกลไกการแพร่กระจายนี้ใช้ได้กับ Google Chrome บนเดสก์ท็อปเท่านั้น ไม่ได้กระทบกับผู้ใช้บนอุปกรณ์พกพาแต่อย่างใด
และเมื่อ Digmine ถูกติดตั้งบนคอมพิวเตอร์แล้ว ก็จะคอยดาวน์โหลดชิ้นส่วนโปรแกรมอื่นๆ รวมถึงตัวแกนหลักโปรแกรมขุดเหมือง เพื่อใช้พีซีเหยื่อปัจจุบันเป็นฐานในการขุดเงินสกุล Monero ซึ่งเป็นเงินคริปโตที่มีชื่อเสียงสกุลหนึ่ง โดยไฟล์ตัวขุดเหมืองชื่อ Miner.exe นี้เป็นโปรแกรมขุดเงิน Monero แบบโอเพ่นซอร์สที่ชื่อ XMRing นั่นเอง
มัลแวร์นี้ถูกตั้งค่าให้เริ่มการทำงานผ่านไฟล์ config.json จึงไม่จำเป็นต้องใช้พารามิเตอร์ป้อนเข้ามาจากคอมมานด์ไลน์ แล้วใช้เฮดเดอร์ HTTP ที่จำเพาะในการดาวน์โหลดไฟล์อื่นที่จำเป็นสำหรับสื่อสารกับเซิร์ฟเวอร์สั่งการภายนอก นอกจากนี้ยังมีพิษสงอย่างอื่นด้วยเช่น การติดตั้งรีจิสตรี้เพื่อสั่งเริ่มการทำงานอัตโนมัติ และค้นหาตัวบราวเซอร์ Chrome เพื่อท่องเว็บได้ตามคำสั่งของเซิร์ฟเวอร์สั่งการ ทั้งนี้ มัลแวร์ Digmine ปัจจุบันกำลังระบาดเริ่มจากเกาหลีใต้ มายังประเทศไทย, ยูเครน, เวเนซูเอล่า, อาเซอร์ไบจัน, เวียดนาม, และฟิลิปปินส์
ที่มา : https://www.hackread.com/digmine-monero-mining-malware-via-facebook
