Jmenuje se FacexWorm a poprvé se objevil loni v srpnu. Nyní se jedna varianta tohoto viru šíří podle společnosti Trend Micro prostřednictvím komunikační služby Facebook Messenger. Funguje jako rozšíření pro prohlížeč Chrome, kterou si neopatrný uživatel může nainstalovat, když klikne na zaslaný odkaz. Ten vede na falešnou stránku YouTube, kde je uživatel vyzván k instalaci kodeku, který je ve skutečnosti vir.
Ukázka rozesílání odkazu na vir FacexWorm přes Messenger.
„Škodlivý doplňek do prohlížeče je schopen krádeže přihlašovacích údajů do různých služeb (Google, MyMonero, Coinhive). Při návštěvě stránek s kryptoměnovou tématikou přesměrovává uživatele na podvodné stránky vyžadující potvrzující platbu. Do ostatních stránek vkládá těžební javascript a při provádění plateb kryptoměnou zaměňuje cílové peněženky,“ varuje i Český národní bezpečnostní tým (CSIRT).
Firma Trend Micro tvrdí, že identifikovala jednu závadnou bitcoinovou transakci. Společnost dále uvedla, že Chrome již odstranil mnoho instalovaných rozšíření FacexWorm a že Facebook Messenger má být schopen detekovat a zablokovat zákeřné odkazy, které malware používá.
