send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Firefox: Destripando un Addon Malicioso

  • 5 Respuestas
  • 2879 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Kodeinfect

  • *
  • Underc0der
  • Mensajes: 327
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Kodeinfect's Blog
« en: Abril 14, 2014, 10:22:55 am »
Cita de: Scorpio
Hace unos días fui "alertado" de un nuevo método de Infección Masiva de Computadoras, el método consiste en insertar en Websites previamente accedidos ilegitimamente un Falso Add-On de Firefox, que simula ser un Update a una nueva Versión, y que, en realidad, contiene código malicioso, que es ejecutado en cada Reinicio de Firefox, en este caso, el código malicioso que veremos mas adelante, descarga un archivo ".exe" que es ejecutado, de manera que el Ordenador queda Comprometido.

Pasemos a la parte "Practica", al entrar a una Website contaminada con este falso Add-On, Firefox nos pedirá permisos para instalarla.



Al instalar el Add-On, el ordenador queda comprometido, de manera que en cada reinicio de Firefox, se vuelve a descargar y ejecutar el archivo.



Pasemos ahora a un poco de teoría, un Add-On de Firefox tiene la extension ".xpi", que es básicamente un ".zip".



Este es el Código que indica a Firefox que debe instalar el Addhttp://underc0de.org/foro/Themes/underc0de/images/bbc/code.gif-On encontrado en la Web.


Y este es el Código que descarga y ejecuta el archivo encontrado en el Add-On.



Lo mas Impresionante sin duda alguna, es que el Add-On aún no fue detectado por ninguna Compañía Antivirus.





Source: Putofriki
« Última modificación: Febrero 03, 2015, 10:15:35 pm por Expermicid »

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #1 en: Abril 16, 2014, 05:21:04 am »
Gracias por el aporte, está muy interesante y de hecho, es un método bastante "moderno" y que pocos utilizan. Hay que tener bastante cuidado con los addons que instalamos.

Un saludo, blackdrake



Desconectado kraphyc

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Febrero 03, 2015, 09:56:19 pm »
hola. este método lo vi en en Kali Linux, combina varios métodos, con Beef y Cobalt strike (armitage). lo mas interezante de Beef que podes infectar exploradores tanto en windows como en linux.

con Beef solo necesitas que ingresen a tu sitio para ejecutar el codigo que quieras, mientras el usuario esta en tu sitio.
para infectar a los visitantes necesitas crear un payload con armitage y con Beef le envías al usuario la solicitud de upgrade del ADDON de firefox, al realizar el update automáticamente se infecta con el backdoor.
desde la consola de armitage administras los equipos infectados como con cualquier RAT.

.


si necesitas que te pase el payload (addon de firefox) para que lo analices avísame.

Saludos.-

Desconectado cnfs

  • *
  • Underc0der
  • Mensajes: 103
  • Actividad:
    1.67%
  • Reputación 3
    • Ver Perfil
    • shad0whack
    • Email
  • Twitter: https://twitter.com/cmind33
« Respuesta #3 en: Febrero 03, 2015, 11:44:22 pm »
Buen aporte, para aquellos 'despistados' y usuarios normales.. que le dan click sin leer a todo jaja..
Vaya paradoja que Firefox lance un un addon-update y el autor 'no sea verificado' no?. Seria el colmo :P
Pero asi y todo caen.

Saludos!
Security Researcher / Reverse Engineer
You are not allowed to view links. Register or Login

Desconectado Flamer

  • *
  • Underc0der
  • Mensajes: 17
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • http://elblogdeflamer.blogspot.mx/
« Respuesta #4 en: Febrero 07, 2015, 02:22:13 pm »
Interesante

saludos flamer

You are not allowed to view links. Register or Login


Desconectado Scorpio

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Febrero 10, 2015, 10:39:24 am »
Como me lo pidieron en otro lado aqui esta el link resubido: You are not allowed to view links. Register or Login
Y un Scan actual (1/59): You are not allowed to view links. Register or Login

Cita de: Scorpio
Un archivo .xpi se puede ser manipulado como cualquier .zip, dentro del .xpi el archivo a modificar es "/content/overlay.js", tras esto en el HTML debes poner el SHA-1 correcto del .xpi o Firefox lo bloqueara.]

//Regards.

 

¿Te gustó el post? COMPARTILO!



Análisis de código malicioso JavaScript

Iniciado por Gabriela

Respuestas: 1
Vistas: 1674
Último mensaje Junio 27, 2016, 07:28:40 am
por StepClose