欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

黑客怎样运用Facebook Messenger跨系统入侵攻击活动 深度研究

来源:本站整理 作者:佚名 时间:2017-09-08 TAG: 我要投稿

媒介
咱们经常会运用 Facebook Messenger 与小伙伴分享风趣的那个影片或资讯链接,不外近来你要提高警惕了,因为黑客能够正经由进程这些链接传播歹意的恶意软件。最近,卡巴斯基网络安全实验室和Detectify实验室的研讨人员发觉,黑客正利用 Facebook Messenger 停止跨平台进击运动, 即以目的用户石友身份发送颠末处置的视频链接。一旦点击链接,则会依据用户浏览器与操纵体系将其从新定向至虚伪网站,并引诱用户下载歹意扩大法式,从而主动下载歹意告白软件至用户电脑装备。今朝,卡巴斯基实验室针对此威逼停止评价。来自Detectify实验室的Frans Rosé也在对此停止阐发研讨。是以,卡巴斯基研讨员David Jacoby和Detectify的研讨员Frans Rosé决议配合撰写这次变乱的研讨报告。
流传机制
Frans Rosé消费了相称长的光阴对JavaScript停止阐发,并试图弄清楚歹意软件的流传办法。从表面上看,这貌似是一个简略的工作,但实际环境并不是如此。这项工作触及多个步调,此中就包含肯定Javascript的有用载荷。别的,由于是由剧本决议甚么时候提议收集进击,是以要实时存眷进击者甚么时候提议进击。
利用Chrome流传的歹意软件不仅仅是流传歹意的收集链接,还会收集和统计受害者的信息。咱们尝试将这次歹意软件流传进程停止分化,总结上去重要分为如下几个步调:
1、受害者从同伙那边收到Facebook Messenger的链接。

2、一旦对方点入就会扶引到一个Google Doc网页,此中实际的是一个同伙头像照片的虚伪的视频播放器。

3、点击这个链接并利用Chrome浏览器停止旁观,就会被复位向至虚伪的YouTube网站,同时该网站会引诱受害者从 Google 利用市肆下载歹意 Chrome 扩大法式(实际上它是一个Downloader)。

4、一旦装置了这个歹意的Chrome 扩大法式,受害者就会向其线上的同伙继承发送歹意链接。
Chrome 歹意扩大法式流传步调值得咱们深刻研讨——
Facebook的新闻框
新闻框中的信息包含用户的姓氏、“视频”(Video)一词和随机的emoji脸色:

和利用URL延长对象创立的链接。
Google文档同享PDF预览
点击链接后,用户就会被复位向到docs.google.com上的一个URL。此链接是经由进程利用同享PDF的预览链接制造的。这一能够性比较大,由于这是经由进程内部链接在正当的Google域上得到大型受控内容地区的最快办法。
PDF本身是利用PHP中的TCPDF 6.2.13创立的,而后利用Google Cloud Services上传Google文档。
TCPDF 6.2.13的PHP创立的,而后利用Google Cloud Services上传到Google文档。点击

就会转到一个正在预览的PDF文件的详细信息页面。
天生的链接的同享设置,此中包含一个风趣的细节:

上图中表现“任何人都能够编纂”(Anyone can edit”),这就意味着任何领有链接的人都能够对其停止编纂。让咱们来看看这个链接是若何流传开来的——进击对一切受害者facebook石友都发送了雷同的链接。但任何一个石友转变链接拜访权限,就会阻拦进击舒展到受害者的别的同伙。
别的一个风趣的细节是创立文档的用户。对大批的个案停止研讨就会发明此中的纪律:

上图所示是发送给四个分歧受害者的链接,但此中的三个链接都利用了一个雷同的IAM用户名(ID-34234),即使这三个链接利用的是分歧的Google Cloud名目创立的。
在黑客提议进击时,这些发送给受害者的pdf预览页面的URL都不在Google的黑名单之列。
从新定向
在点击Google文档链接后,用户将被从新定向,最有能够呈现的是指纹辨认浏览器。如下咱们将重点阐发Chrome浏览器。
Chrome扩大法式从新定向被从新定向至虚伪的YouTube网页
利用Chrome浏览器的用户将被从新定向至虚伪的YouTube网页。咱们留意到在进击时利用了几个分歧的域。

被从新定向的页面还会请求您装置Chrome扩大法式。由于用户能够直接在页面上装置Chrome扩大法式,是以受害者独一能够履行的操纵便是单击“增加扩大名”。一旦受害者点击了“增加扩大名”,黑客的进击行为就胜利了。
Chrome扩大法式
这里利用了多种Chrome扩大法式。一切的扩大法式都是新创立的,代码是从称号相似的扩大名中盗来的。这些扩大法式主如果利用background.js和manifest.json的修改版。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载