Éste es Digmine, el nuevo malware que ataca usando Facebook Messenger

Varios usuarios de diversos países del mundo han sido seleccionados para recibir una especie de campaña en la que se les ofrece una nueva forma de malware llamada Digmine, la cual funciona instalando un minero de criptomonedas y una maliciosa extensión de Google Chrome que, entre otras cosas, le permite propagarse y llegar a nuevas víctimas.

Este malware se propaga a través de Facebook Messenger, y lo hace cuando las víctimas reciben un archivo llamado video_xxxx.zip el cual se presenta a sí mismo como un archivo de vídeo. Lo cierto es que no es nada de eso, sino un archivo EXE que se instala de inmediato una vez los usuarios lo abran.

Digmine está escrito en AutoIt y no goza de muy variadas características más allá de la que le permite contactar con un servidor remoto de comando y control para obtener instrucciones. El malware también puede añadir un mecanismo de autoarranque basado en el registro, y luego instala el minador y la extensión de Chrome que acaba de recibir.

El mecanismo de propagación automática que usa la mencionada extensión maliciosa de Chrome sólo funciona si los usuarios de Facebook tienen su sesión iniciada en el navegador de Google. Por el contrario, si el usuario no tiene credenciales de Facebook guardadas en Chrome, la extensión no funcionará ya que no tiene el poder para acceder a Facebook Messenger por sí misma.

Otro factor a saber de este ataque es que, al enviar archivos EXE, los hackers solo pretenden afectar a los usuarios de Windows. Ellos, y no los usuarios de Linux o Mac, son los principales objetivos de una campaña que arrancó haciendo estragos en el mercado surcoreano y que rápidamente se extendió a Vietnam, Azerbaiyán, Ucrania, Vietnam, Filipinas, Tailandia y Venezuela.