[ 安全通報 ] 20 二月, 2013 15:35

接續上一篇我們提到會針對這些chrome的惡意extension的行為持續追蹤.

以下是我們遇到的case:

前半段的動作都一樣,利用讀者的好奇心,暗地裡下載安裝惡意的extension.

之後如果瀏覽器開啟了Facebook,接著就會去GET:hxxp://goo.gl/iiWeL? 也就是hxxp://fastotolike.com/yeni.php!

extension裡的son.js內容

 

hxxp://fastotolike.com/yeni.php的一段內容,可以看到abonesayfa 2個function及一些 facebook profile_id 

 

 

function abone就是去追蹤一些人

 

 

在個人的活動紀錄上可以看到去追蹤了多個人

 

 

function sayfa則是針對一些粉絲團按讚

 

 

一樣可以在活動紀錄上看到按讚的情形

 

 

按讚的其中一個粉絲團,加入facebook不到一個月,且沒有什麼訊息發布
就有25萬個粉絲,很明顯就是用程式按讚的結果...

 

 

PCWorld有提到俄羅斯的黑市,用程式幫忙按讚的"價碼":"On underground forums in Russia, a page with 100,000 likes sells for about $150 to $200,"

http://www.pcworld.com/article/2028614/rogue-chrome-extension-racks-up-facebook-likes-for-online-bandits.html 

 

義集思實驗室已將 fastotolike.com 加入特徵資料庫.

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab  

 

[ 安全通報 ] 20 二月, 2013 13:28

最近又收到讀者回報惡意的Facebook連結 hxxp://www.facebooksistem.net/izle/

也許大家乍看會覺得跟上一篇差不多,但是這次的惡意行為已經有了進化,變得無法在extension (擴充功能)中察覺.

詳細的分析如下:

 

 

頁面是土耳其文, Google的翻譯是:

 

這頁面就是要誘騙你, 如果想要觀賞影片, 必須先download plug-in!

 

頁面部分原始碼如下:

 

 

可以看到它會先判斷你的瀏覽器是否為chrome, 並且會一直跳出安裝和警告視窗!

 

 

跳出的警告視窗, 要你趕快安裝Extension!

 

 

 

如果瀏覽器不是chrome, 則是下載:hxxp://www.expertcoder.nazuka.net/topluca.xpi

chrome的extension內容如下:

 

 

manifest.json 裡可以看到執行的js檔和要求的permission!

 

 

get.js 有以下的惡意行為:

1.會將chrome://extensions自動導到chrome web store如此使用者便無法看到裝了哪些extension, 不能直接去對extension做disable的動作! (這個部分已經進化,不像先前的那般容易檢查,請參考我們前一篇的分析.)

2.如果瀏覽器有開facebook的網頁,會去GET:hxxp://goo.gl/FN0Ld? 

 

 

瀏覽器有開facebook, 導到的頁面目前沒有惡意的行為, 我們會持續的觀察及追蹤! 

 

 

先前網路上已有網友分享,提醒大家安裝了這個惡意extension的使用者,會去tag你的好友,並繼續張貼這個惡意網站!

所以即使是Facebook裡朋友的分享或其它連結,點閱前還是要保持戒心,不可不慎~ 

 

 

義集思實驗室已將www.facebooksistem.net、www.expertcoder.nazuka.net 加入特徵資料庫.

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab 

 

 

[ 安全通報 ] 05 二月, 2013 18:38

義集思實驗室最近發現一些類似手法內藏惡意連結的Facebook粉絲團.

像是: 

hxxp://www.facebook.com/pages/Videos-choquantes/115875135259062?sk=app_208195102528120

hxxp://www.facebook.com/pages/Videos-choquantes/116032281910520?sk=app_208195102528120 

我們執行惡意連結的檔案後,發現他會先去讀取你的朋友名單並加入的粉絲團接下來針對這些對象去留言或散播連結等惡意行為

詳細的分析過程如下:

  點擊上述的連結後,將會開啟如下瀏覽器視窗:

 

頁面是法文,標題經Google翻譯:This girl has a spider under the skin and makes it removed!

 

 

而跳出的視窗,經翻譯後 

  

Update Needed
to watch the latest videos on Facebook, you must install this update package.

To begin, click on the button below:

 

這頁面就是誘騙你如果想要觀賞這部影片,那就得按下OK去做更新的動作!

但其實它只是張圖片:https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4 /485988_418802871533399_741659011_n.png

而當你按下OK後,會download一個有問題的安裝檔:hxxp://dl-b.uni.me/updates/fr_FR /fb13.4.4_fr.exe

VirusTotal(14/46)  

 

 

 

執行後,會顯示更新成功的訊息

  

法文:mise a` jour de'ja` effectue'

英文:update already done

 

   

接下來就會發現Chrome瀏覽器多了一個extension 

  

 

extension的內容 

  

 

Chrome是用manifest.json來定義該extension,以下是此有問題的extension其manifest.json內容 

  

 

由此manifest.json可以看出:

1.permission允許連結任何的URL

2.extension的主程式為call.js

3.update的URL:http://du-pont.info/updates/fr_FR/update.xml,內容如下

可以看出update惡意extension的URL為:hxxp://du-pont.info/updates/fr_FR/chrome-france.crx

 

 

 

主程式call.js的其中一段內容

  

 

這些惡意的extension會先去讀取你的朋友名單並加入的粉絲團接下來針對這些對象去留言或散播連結等惡意行為

最好的保護方法就是在點閱任何連結前,善用瀏覽器下方的狀態列,如果連結的原意是指向一個網頁,但此時卻是指向一個檔案,那通常就有問題囉.所以在點閱任何連結前,不要只想著有什麼精彩好看的,一定要先檢查!  

義集思實驗室提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab