Firefox: Destripando un Addon Malicioso

Iniciado por Kodeinfect, Abril 14, 2014, 10:22:55 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Abril 14, 2014, 10:22:55 AM Ultima modificación: Febrero 03, 2015, 10:15:35 PM por Expermicid
Cita de: ScorpioHace unos días fui "alertado" de un nuevo método de Infección Masiva de Computadoras, el método consiste en insertar en Websites previamente accedidos ilegitimamente un Falso Add-On de Firefox, que simula ser un Update a una nueva Versión, y que, en realidad, contiene código malicioso, que es ejecutado en cada Reinicio de Firefox, en este caso, el código malicioso que veremos mas adelante, descarga un archivo ".exe" que es ejecutado, de manera que el Ordenador queda Comprometido.

Pasemos a la parte "Practica", al entrar a una Website contaminada con este falso Add-On, Firefox nos pedirá permisos para instalarla.



Al instalar el Add-On, el ordenador queda comprometido, de manera que en cada reinicio de Firefox, se vuelve a descargar y ejecutar el archivo.



Pasemos ahora a un poco de teoría, un Add-On de Firefox tiene la extension ".xpi", que es básicamente un ".zip".



Este es el Código que indica a Firefox que debe instalar el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta encontrado en la Web.


Y este es el Código que descarga y ejecuta el archivo encontrado en el Add-On.



Lo mas Impresionante sin duda alguna, es que el Add-On aún no fue detectado por ninguna Compañía Antivirus.






Source: Putofriki

Gracias por el aporte, está muy interesante y de hecho, es un método bastante "moderno" y que pocos utilizan. Hay que tener bastante cuidado con los addons que instalamos.

Un saludo, blackdrake



hola. este método lo vi en en Kali Linux, combina varios métodos, con Beef y Cobalt strike (armitage). lo mas interezante de Beef que podes infectar exploradores tanto en windows como en linux.

con Beef solo necesitas que ingresen a tu sitio para ejecutar el codigo que quieras, mientras el usuario esta en tu sitio.
para infectar a los visitantes necesitas crear un payload con armitage y con Beef le envías al usuario la solicitud de upgrade del ADDON de firefox, al realizar el update automáticamente se infecta con el backdoor.
desde la consola de armitage administras los equipos infectados como con cualquier RAT.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


si necesitas que te pase el payload (addon de firefox) para que lo analices avísame.

Saludos.-

Buen aporte, para aquellos 'despistados' y usuarios normales.. que le dan click sin leer a todo jaja..
Vaya paradoja que Firefox lance un un addon-update y el autor 'no sea verificado' no?. Seria el colmo :P
Pero asi y todo caen.

Saludos!
Security Researcher
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Interesante

saludos flamer

Mi Blog

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Como me lo pidieron en otro lado aqui esta el link resubido: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Y un Scan actual (1/59): No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cita de: ScorpioUn archivo .xpi se puede ser manipulado como cualquier .zip, dentro del .xpi el archivo a modificar es "/content/overlay.js", tras esto en el HTML debes poner el SHA-1 correcto del .xpi o Firefox lo bloqueara.]

//Regards.