義集思實驗室最近發現一些類似手法內藏惡意連結的Facebook粉絲團.

像是: 

hxxp://www.facebook.com/pages/Videos-choquantes/115875135259062?sk=app_208195102528120

hxxp://www.facebook.com/pages/Videos-choquantes/116032281910520?sk=app_208195102528120 

我們執行惡意連結的檔案後,發現他會先去讀取你的朋友名單並加入的粉絲團接下來針對這些對象去留言或散播連結等惡意行為

詳細的分析過程如下:

  點擊上述的連結後,將會開啟如下瀏覽器視窗:

 

頁面是法文,標題經Google翻譯:This girl has a spider under the skin and makes it removed!

 

 

而跳出的視窗,經翻譯後 

  

Update Needed
to watch the latest videos on Facebook, you must install this update package.

To begin, click on the button below:

 

這頁面就是誘騙你如果想要觀賞這部影片,那就得按下OK去做更新的動作!

但其實它只是張圖片:https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4 /485988_418802871533399_741659011_n.png

而當你按下OK後,會download一個有問題的安裝檔:hxxp://dl-b.uni.me/updates/fr_FR /fb13.4.4_fr.exe

VirusTotal(14/46)  

 

 

 

執行後,會顯示更新成功的訊息

  

法文:mise a` jour de'ja` effectue'

英文:update already done

 

   

接下來就會發現Chrome瀏覽器多了一個extension 

  

 

extension的內容 

  

 

Chrome是用manifest.json來定義該extension,以下是此有問題的extension其manifest.json內容 

  

 

由此manifest.json可以看出:

1.permission允許連結任何的URL

2.extension的主程式為call.js

3.update的URL:http://du-pont.info/updates/fr_FR/update.xml,內容如下

可以看出update惡意extension的URL為:hxxp://du-pont.info/updates/fr_FR/chrome-france.crx

 

 

 

主程式call.js的其中一段內容

  

 

這些惡意的extension會先去讀取你的朋友名單並加入的粉絲團接下來針對這些對象去留言或散播連結等惡意行為

最好的保護方法就是在點閱任何連結前,善用瀏覽器下方的狀態列,如果連結的原意是指向一個網頁,但此時卻是指向一個檔案,那通常就有問題囉.所以在點閱任何連結前,不要只想著有什麼精彩好看的,一定要先檢查!  

義集思實驗室提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab