Cita de: ScorpioHace unos días fui "alertado" de un nuevo método de Infección Masiva de Computadoras, el método consiste en insertar en Websites previamente accedidos ilegitimamente un Falso Add-On de Firefox, que simula ser un Update a una nueva Versión, y que, en realidad, contiene código malicioso, que es ejecutado en cada Reinicio de Firefox, en este caso, el código malicioso que veremos mas adelante, descarga un archivo ".exe" que es ejecutado, de manera que el Ordenador queda Comprometido.
Pasemos a la parte "
Practica", al entrar a una Website contaminada con este falso Add-On, Firefox nos pedirá permisos para instalarla.
(http://i.imgur.com/c2h0qdb.png)
Al instalar el Add-On, el ordenador queda comprometido, de manera que en cada reinicio de Firefox, se vuelve a descargar y ejecutar el archivo.
(http://i.imgur.com/gn3vqlp.png)
Pasemos ahora a un poco de teoría, un Add-On de Firefox tiene la extension ".xpi", que es básicamente un ".zip".
(http://i.imgur.com/OR0gwtG.png)
Este es el Código que indica a Firefox que debe instalar el Addhttp://underc0de.org/foro/Themes/underc0de/images/bbc/code.gif-On encontrado en la Web.
(http://i.imgur.com/zdI72rw.png)
Y este es el Código que descarga y ejecuta el archivo encontrado en el Add-On.
(http://i.imgur.com/koimYKv.png)
Lo mas Impresionante sin duda alguna, es que el Add-On aún no fue detectado por ninguna Compañía Antivirus.
(http://i.imgur.com/JzTrD2A.png)
Source:
Putofriki
Gracias por el aporte, está muy interesante y de hecho, es un método bastante "moderno" y que pocos utilizan. Hay que tener bastante cuidado con los addons que instalamos.
Un saludo, blackdrake
hola. este método lo vi en en Kali Linux, combina varios métodos, con Beef y Cobalt strike (armitage). lo mas interezante de Beef que podes infectar exploradores tanto en windows como en linux.
con Beef solo necesitas que ingresen a tu sitio para ejecutar el codigo que quieras, mientras el usuario esta en tu sitio.
para infectar a los visitantes necesitas crear un payload con armitage y con Beef le envías al usuario la solicitud de upgrade del ADDON de firefox, al realizar el update automáticamente se infecta con el backdoor.
desde la consola de armitage administras los equipos infectados como con cualquier RAT.
https://www.youtube.com/watch?v=esC8K_PNgkQ&index=3&list=PLfSXMB9gAvJN56ovQBJE_4gCUV4XHqeMt.
si necesitas que te pase el payload (addon de firefox) para que lo analices avísame.
Saludos.-
Buen aporte, para aquellos 'despistados' y usuarios normales.. que le dan click sin leer a todo jaja..
Vaya paradoja que Firefox lance un un addon-update y el autor 'no sea verificado' no?. Seria el colmo :P
Pero asi y todo caen.
Saludos!
Interesante
saludos flamer
Como me lo pidieron en otro lado aqui esta el link resubido: https://www.sendspace.com/file/gxvh6h
Y un Scan actual (1/59): http://razorscanner.com/result.php?id=742506
Cita de: ScorpioUn archivo .xpi se puede ser manipulado como cualquier .zip, dentro del .xpi el archivo a modificar es "/content/overlay.js", tras esto en el HTML debes poner el SHA-1 correcto del .xpi o Firefox lo bloqueara.]
//Regards.