接續上一篇我們提到會針對這些chrome的惡意extension的行為持續追蹤.

以下是我們遇到的case:

前半段的動作都一樣,利用讀者的好奇心,暗地裡下載安裝惡意的extension.

之後如果瀏覽器開啟了Facebook,接著就會去GET:hxxp://goo.gl/iiWeL? 也就是hxxp://fastotolike.com/yeni.php!

extension裡的son.js內容

 

hxxp://fastotolike.com/yeni.php的一段內容,可以看到abonesayfa 2個function及一些 facebook profile_id 

 

 

function abone就是去追蹤一些人

 

 

在個人的活動紀錄上可以看到去追蹤了多個人

 

 

function sayfa則是針對一些粉絲團按讚

 

 

一樣可以在活動紀錄上看到按讚的情形

 

 

按讚的其中一個粉絲團,加入facebook不到一個月,且沒有什麼訊息發布
就有25萬個粉絲,很明顯就是用程式按讚的結果...

 

 

PCWorld有提到俄羅斯的黑市,用程式幫忙按讚的"價碼":"On underground forums in Russia, a page with 100,000 likes sells for about $150 to $200,"

http://www.pcworld.com/article/2028614/rogue-chrome-extension-racks-up-facebook-likes-for-online-bandits.html 

 

義集思實驗室已將 fastotolike.com 加入特徵資料庫.

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab