Messenger vírus terjedése

Ma kaptam egy ismerősömtől egy üzenetet, amiben a privát videóját egy bit.ly linken láthatom. Ne szóljak másnak róla. Természetesen ez egy vírus volt.

Szóval kattintottam. Először egy az üzenet küldő felhasználó profil képével ellátott automatikusan generált Google Dokumentum oldalra vitt, amit nem mutatok meg, mert felfedném vele a felhasználót. A lényege az, hogy az üzenet küldő profilképére rakott egy play gombot. Az áldozat emiatt azt hiheti, hogy tényleg a küldő személy videóját fogja látni. Erre kattintva egy kamu YouTube oldal jelent meg.

kamu youtube

A címsávból egyértelmű, hogy nem YouTube. A végét meg én írtam be hátha logolja az ID-ket. Itt bármire kattintunk felajánlja egy Chrome bővítmény telepítését.

bővítmény csalás

A bővítményt jelentettem Google-nek, mivel a Google bővítmény store-on van fent. Szépen le is töltöttem zip-ben, hogy meglessem a belsejét. Egyébként a Chrome web store tanulsága szerint több, mint 500 ember telepítette már. Ennyi áldozatot szedett eddig.

A forráskód

forrás kód

A sorok 99%-a teljesen haszontalan, nem használt. Csak arra való, hogy összezavarja az olvasót. Az XMLHttpRequest() sorból hamar rá lehet jönni, hogy mire való. Már csak azt kellett megfejteni melyik weboldalt nyitja meg. Erre a saját funkcióját használhatjuk, ami itt futtatható, ha valakit érdekel. Nem túl bonyolult rejtjelezés. Gyakorlatilag ez a kód betölt egy újabb adag script-et. Ezzel a módszerrel, hogy nem egyszerre van benne a teljes kód két dolgot ér el: 1) Kicsi és gyorsan telepíthető lesz a bővítmény. 2) Át megy ellenőrzéseken (ha léteznek ilyenek).

A második adag kód, amit utólag tölt be, a Chrome bővítmény lehetőségeit kihasználva átveszi a hatalmat a Facebook felett. Letiltja a Facebook bizonyos szolgáltatásait és elküldi a fent látható üzenetet minden ismerősnek.

tiltott oldalak

Ezek mellett megpróbálja leblokkolni a chrome://extensions URL-t is, hogy az áldozat ne tudja törölni a bővítményt. Ez nem megy olyan jól neki szerencsére. Ha ennél mélyebbre is beleásunk betölt még egy nagyon elrejtjelezett forrást, ami töröttnek látszik, nem tudom lefut-e és nincs türelmem kibontani már. Aki szeretne küzdeni vele, az találja meg maga. Nekem nincs időm erre, eddig szórakoztatott. Valószínűleg itt történne a lényeg, de maga a forrás kód hibásnak tűnik. Nincs meg a teljes fájl és amikor futtatni akarom sok szintaxis hibába akad. Szóval azt merem állítani, hogy bármire is lett kitalálva már nem működik. Esetleg azért törött mert beágyazza magát egy másik scriptbe így injektálva a műveleteket az oldalba. Nem tudom. Ha valaki megfejti nyugodtan elmondhatja kommentben. Jobban nem érdekel.

A bit.ly url-t, a Google Bővítményt jelentettem a megfelelő helyeken. Általában az ilyen jelentések hatásosak is, szóval hamar le lehet bénítani az ilyen támadásokat. Többet én nem tehetek.

 

I don't speak Hungarian. Google translate it for me!