Análisis de un video malicioso en Facebook II

· de · en Personal. ·

Hola!

Muy buenas a todos/as!

Después de escribir la primera parte de Análisis de un video malicioso en Facebook, me quedé con las ganas de hacer una segunda entrega en la que poder jugar con ams cosas y entender la lógica de como usan los atacantes Facebook para infectar masivamente a  los usuarios además de saltarse las protecciones de Facebook (Si las hay) XD

Para los que no han leído la primera parte, hago un poco de memoria, en el muro de Facebook aparece un mensaje como este:

La dirección web que aparecía referenciando el video era diferente a la del otro día, así que como es de sospechar existen muchísimos blogs alojados en Blogspot que contienen este tipo de engaños para el usuario.

Si recordamos la web era algo parecido a :

Esta es la imagen del otro día, pero es el mismo aspecto en todas igual ya que sigue obteniendo el CSS y la página del mismo servidor.

Aquí podemos ver la petición para el CSS, por ejemplo .

hoy también miraremos el host de vevideo

Tienen permitido que se pueda listar en el servidor, aquí podemos ver los scripts para Firefox y opara Google Chrome de los que hablábamos en la primera entrega de este artículo.

También podemos ver varios .php, .js, imágenes…

Primero miraremos el archivo mailing.php, al ejecutarlo si miramos el código fuente observamos que:

Podemos ver la redirección hacia otro servidor, de momento lo dejaremos ahí.

El siguiente archivo es pagina.php

Si cargamos la página nos aparece la misma web que nos aparecía cuando visitábamos una web de Blogspot, con el aspecto de Facebook y demás.

El siguiente archivo es plugin.html, el cual haciendo uso de GeoIP te geolozaliza, y según el navegador que uses Firefox o Chrome te ofrece el poder descargar uno de los dos.

El archivo plugin.php hace lo mismo que el anterior.

Luego tenemos el archivo script.js, aquí vemos el código:

Podemos ver el contenido del script en Pastebin aquí 

A mi parecer ya que no soy muy ducho en Javascript es llamar al archivo extra.js

El archivo de extra.js, es bastante grande para ponerlo en una imagen, así que lo podéis encontrar en Pastebin aquí

El código estaba ofuscado para des-ofuscarlo he usado esta herramienta Jsbeautifier

Pego una imagen del código que ahora me interesa de extra.js

El código a mi parecer básicamente lo que hace es, comprobar si venimos del dominio de Facebook, leer nuestras cookies y compartir este video con nuestros amigos.

Luego tenemos el archivo extraenc.js este Javascript está totalmente ofuscado, volvemos a usar Jsbeautifier y extraemos el resultado que puede ser consultado aquí

Aquí vuelvo a pegar otra parte interesante del código:

Básicamente el código hace lo mismo… el mtivo de porque uno esté mas ofuscado que otro sea la protección por parte de los antivirus.

Por último nos queda el archivo unloked.php. Este archivo hacía referencia a:

Además de también cargar a otro tipo de páginas como estas:

Por lo que he podido ver es una manera de monetizar los clicks que hacen los usuarios.

Por último encontramos también el enlace a:

Esta es la web que nos pedía el número de móvil.

En la parte de ServidorYoutube lo analizaremos otro día.

Hemos visto como los criminales se lo montan bien para cometer fraude y poder además monetizar ese fraude.

Seguiremos en el siguiente capítulo

Saludos

About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Cancelar

Conectando a %s