最近又收到讀者回報惡意的Facebook連結 hxxp://www.facebooksistem.net/izle/

也許大家乍看會覺得跟上一篇差不多,但是這次的惡意行為已經有了進化,變得無法在extension (擴充功能)中察覺.

詳細的分析如下:

 

 

頁面是土耳其文, Google的翻譯是:

 

這頁面就是要誘騙你, 如果想要觀賞影片, 必須先download plug-in!

 

頁面部分原始碼如下:

 

 

可以看到它會先判斷你的瀏覽器是否為chrome, 並且會一直跳出安裝和警告視窗!

 

 

跳出的警告視窗, 要你趕快安裝Extension!

 

 

 

如果瀏覽器不是chrome, 則是下載:hxxp://www.expertcoder.nazuka.net/topluca.xpi

chrome的extension內容如下:

 

 

manifest.json 裡可以看到執行的js檔和要求的permission!

 

 

get.js 有以下的惡意行為:

1.會將chrome://extensions自動導到chrome web store如此使用者便無法看到裝了哪些extension, 不能直接去對extension做disable的動作! (這個部分已經進化,不像先前的那般容易檢查,請參考我們前一篇的分析.)

2.如果瀏覽器有開facebook的網頁,會去GET:hxxp://goo.gl/FN0Ld? 

 

 

瀏覽器有開facebook, 導到的頁面目前沒有惡意的行為, 我們會持續的觀察及追蹤! 

 

 

先前網路上已有網友分享,提醒大家安裝了這個惡意extension的使用者,會去tag你的好友,並繼續張貼這個惡意網站!

所以即使是Facebook裡朋友的分享或其它連結,點閱前還是要保持戒心,不可不慎~ 

 

 

義集思實驗室已將www.facebooksistem.net、www.expertcoder.nazuka.net 加入特徵資料庫.

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab