Usar Facebook como proxy web
Hola!
Muy buenas a todos/as!
Es conocido el uso de diversas webs legítimas que se pueden usar como Proxy web, aunque el uso del sitio no esté pensando para eso. Siendo esto usado en los traductores, por ejemplo. ¿Que ganamos con esto? En muchos casos, que la petición como Referer la hace la web que ofrece el servicio de traducción, por lo tanto quedamos “anónimos” en la petición a dicho sitio web, si no es para navegar, también se puede usar para hacer ataques de SQL injection, o como Fuzzers.
Leyendo la lista de Full Disclousure me encuentro que es posible usar Facebook como proxy web.
La URL es esta:
developers.facebook.com/tools/debug/og/echo?q=
La salida de la página web la muestra en código HTML, sólo tendríamos que guardar el resultado de la web y abrirlo con el navegador para que se pudiera ver el contenido de la web.
Podemos ver un ejemplo aquí:
El equipo de IHteam ha desarrollado un script muy interesante para que lo podáis probar.
Aquí lo tenéis:
Si en alguna red tenéis bloqueada alguna web que queráis ver pero, os dejan usar Facebook, podremos hacer bypass con él
Saludos cordiales
Análisis de un video malicioso en Facebook II
Hola!
Muy buenas a todos/as!
Después de escribir la primera parte de Análisis de un video malicioso en Facebook, me quedé con las ganas de hacer una segunda entrega en la que poder jugar con ams cosas y entender la lógica de como usan los atacantes Facebook para infectar masivamente a los usuarios además de saltarse las protecciones de Facebook (Si las hay) XD
Para los que no han leído la primera parte, hago un poco de memoria, en el muro de Facebook aparece un mensaje como este:
La dirección web que aparecía referenciando el video era diferente a la del otro día, así que como es de sospechar existen muchísimos blogs alojados en Blogspot que contienen este tipo de engaños para el usuario.
Si recordamos la web era algo parecido a :
Esta es la imagen del otro día, pero es el mismo aspecto en todas igual ya que sigue obteniendo el CSS y la página del mismo servidor.
Aquí podemos ver la petición para el CSS, por ejemplo .
hoy también miraremos el host de vevideo
Tienen permitido que se pueda listar en el servidor, aquí podemos ver los scripts para Firefox y opara Google Chrome de los que hablábamos en la primera entrega de este artículo.
También podemos ver varios .php, .js, imágenes…
Primero miraremos el archivo mailing.php, al ejecutarlo si miramos el código fuente observamos que:
Podemos ver la redirección hacia otro servidor, de momento lo dejaremos ahí.
El siguiente archivo es pagina.php
Si cargamos la página nos aparece la misma web que nos aparecía cuando visitábamos una web de Blogspot, con el aspecto de Facebook y demás.
El siguiente archivo es plugin.html, el cual haciendo uso de GeoIP te geolozaliza, y según el navegador que uses Firefox o Chrome te ofrece el poder descargar uno de los dos.
El archivo plugin.php hace lo mismo que el anterior.
Luego tenemos el archivo script.js, aquí vemos el código:
Podemos ver el contenido del script en Pastebin aquí
A mi parecer ya que no soy muy ducho en Javascript es llamar al archivo extra.js
El archivo de extra.js, es bastante grande para ponerlo en una imagen, así que lo podéis encontrar en Pastebin aquí
El código estaba ofuscado para des-ofuscarlo he usado esta herramienta Jsbeautifier
Pego una imagen del código que ahora me interesa de extra.js
El código a mi parecer básicamente lo que hace es, comprobar si venimos del dominio de Facebook, leer nuestras cookies y compartir este video con nuestros amigos.
Luego tenemos el archivo extraenc.js este Javascript está totalmente ofuscado, volvemos a usar Jsbeautifier y extraemos el resultado que puede ser consultado aquí
Aquí vuelvo a pegar otra parte interesante del código:
Básicamente el código hace lo mismo… el mtivo de porque uno esté mas ofuscado que otro sea la protección por parte de los antivirus.
Por último nos queda el archivo unloked.php. Este archivo hacía referencia a:
Además de también cargar a otro tipo de páginas como estas:
Por lo que he podido ver es una manera de monetizar los clicks que hacen los usuarios.
Por último encontramos también el enlace a:
Esta es la web que nos pedía el número de móvil.
En la parte de ServidorYoutube lo analizaremos otro día.
Hemos visto como los criminales se lo montan bien para cometer fraude y poder además monetizar ese fraude.
Seguiremos en el siguiente capítulo
Saludos
Análisis de un video malicioso en Facebook
Hola!
Muy buenas a todos/as!
En el uso de las redes sociales convergen distintos usuarios con diferentes niveles de conocimiento en seguridad informática y buenas prácticas.
Es por eso, que cuando hay un video con código malicioso se expande muy rápidamente entre los usuarios.
Facebook ya ha sufrido ataques contra los usuarios, en los que diferentes enlaces a vídeos que contenían malware.
Estaba navegando por Facebook y en uno de mis amigos me encuentro con estos vídeos.
Al hacer click en este enlace el usuario era enviado a otra página web con esta apariencia:
A la vista del usuario esto parece un dominio legítimo, de Facebook, ya que conserva la cabecera de Facebook.
Podemos consultar las peticiones de la página web.
Si observamos el código fuente podemos ver la carga de un iframe en la página web
También cargará hoja de estilos de ese dominio:
En los dos casos como origen se trata de otro dominio.
Además este tipo de sitios, realizan un conteo de las visitas que reciben y con que palabras claves llegan, si es que no llegan directamente desde Facebook. En este caso el servicio es among
En la instalación del plugin, es necesario saber con que navegador esta accediendo el usuario. Esto es algo realmente sencillo, por ejemplo con este script que hay en la página:
Podemos ver que en el caso de Chrome nos descargará un plugin para Chrome y en el caso de Firefox otro plugin para Firefox. Ahora instalamos el plugin en el navegador para hacer una prueba. Una vez instalado comprobamos la información sobre el plugin.
Si echamos un vistazo a la web que referencia el plugin, podemos ver que el dominio está hosteado con un sistema Cloudflare.
Finalmente cuando hemos instalado el plugin e intentamos acceder a la página web somos dirigidos hacia una página web distinta, donde seremos invitados a introducir nuestro número de móvil para el envío de publicidad.
Finalmente después de haber instalado el plugin, somos dirigidos aquí. El tipo de webs como esta, hay varias que se dedican a hacer lo mismo.
En el siguiente apartado analizaremos mas sobre este tipo de páginas maliciosas.
Hay que tener conciencia con los usuarios para que no caigan en este tipo de fraudes, que provocan una infección masiva entre mismos contactos
Saludos
FacePAD, descarga álbums de Facebook
Hola!
Muy buenas a todos/as!
Ya que las redes sociales son más utilizadas, subimos nuestras fotos, compartimos nuestros viajes y experiencias a lo mejor nos gustaría guardarnos las fotos de algún álbum interesante que hayamos visto.
Y para eso nos sirve FacePAD!
Una vez hemos instalado FacePAD nos vamos hacia el álbum que queramos descargarnos
Ahora nos preguntará donde queremos guadar el álbum
En el caso de que queramos hacer que concatenen los nombres en las fotos lo podemos indicar
Y aquí tenemos el resultado
Es una utilidad que os puede ser interesante.
Un saludo
