lunes, 25 de abril de 2011

Disección rapida de la "aplicación" Averigua quién visita tu perfil.


La metodología consiste en inducir al usuario de Facebook a entrar a una pagina web (espia*****.com) en la que se deberá a seguir pasos (4 aprox) para instalar una supuesta aplicación en la cuenta personal facebook de la victima y proceder así a saber supuestamente quienes son los contactos que mas visitan el perfil, a la vez que se procede a crear (e invitar) eventos públicos y posts en los muros de los contactos para así seguir induciendo a la visita de dicha pagina web antes mencionada.

Se puede deducir que no hay ningún virus, sino que lo que se pretende es generar el mayor numero de visitas a la pagina web antes mencionada, ya que dicha pagina web contiene publicidad cuya metodología de pago al webmaster está regida por la cantidad de visualizaciones, entiéndase a mayor cantidad de veces que se vé la publicidad de dicha pagina web, mayor pago al webmaster de la misma, al mismo tiempo que intenta poner en el ultimo paso como pagina de inicio del navegador de la victima, un buscador web personalizado con la metodología de publicidad ya mencionada.

Adicionalmente si bien dicho método de propagación se puede comparar como del tipo vírico por cómo se generan los eventos y posts para inducir la visita a la pagina web, esto mas se puede referir a una especie de técnica de marketing viral
(es.wikipedia.org/wiki/Marketing_viral)
que a una infección de virus (malware) en la computadora de la victima, para así generar el mayor numero de visitas antes mencionadas, por lo que no habría que preocuparse por una infección de virus (malware) en la computadora de la victima, ya que el único archivo externo (de momento) con el que la página hace interactuar a la victima es uno de tipo JavaScript que después de examinarlo por un motor de análisis de archivos extraños no genera ningún tipo de reporte de actividad extraña o maliciosa 
(wepawet.iseclab.org/view.php?hash=5b039e5124162f6ea0012390519a5218&type=js), presumiendose de momento que dicho archivo de tipo JavaScript sea el que genera al azar los nombres de los supuestos contactos de la victima que son los que supuestamente visitan con frecuencia el perfil de la victima
Saludos y no se asusten de momento ;)



ACTUALIZACIÓN


Un análisis rápido del archivo JavaScript nos muestra que tiene gran parte de su contenido codificado (ofuscado) de la siguiente manera:


"var _0x3fe9=["\x25\x66\x69\x72\x73\x74\x6E\x61\x6D\x65\x25\x20\x6D\x69\x72\x61\x20\x65\x73\x74\x6F\x20\x71\x75\x65\x20\x65\x73\x20\x69\x6E\x63\x72\x65\x69\x62\x6C\x65\x2C\x20\x74\x65\x20\x70\x65\x72\x6D\x69\x74\x65\x20\x76\x65\x72\x20\x71\x75\x69\x65\x6E\x65\x73\x20\x76\x69\x73\x69\x74\x61\x6E\x20\x74\x75\x20\x70\x65\x72\x66\x69\x6C\x20\x79\x20\x66\x75\x6E\x63\x69\x6F\x6E\x61\x20\x62\x69\x65\x6E\x2C\x20\x65\x6E\x74\x72\x61\x20\x61\x3A\x20\x65\x73\x70\x69\x61\x66\x61\x63\x65\x2E\x63\x6F\x6D", "


En un procedimiento de descifrado del código del archivo se puede ver parte del real contenido mostrándose lo siguiente:


"var _0x3fe9=["%firstname% mira esto que es increible, te permite ver quienes visitan tu perfil y funciona bien, entra a: espia****.com","Top de visitantes de tu perfil de hoy:
%tf% - 19 visitas
%tf% - 16 visitas
%tf% - 15 visitas
%tf% - 13 visitas
Averigua tu tambien quien te esta mirando entrando en: espiaface.com
Funciona de verdad!","http://www.espia****.com/carga.php","Esto es increible! pueden ver quien esta visitando su perfil y te llegan notificaciones, sigan los pasos de esta pagina que explica como hacerlo, entren en: espia****.com","Averigua quien visita tu perfil","href","location","top","GET","open","onreadystatechange"


En donde se puede ver claramente que los resultados siempre van a ser los mismos (19 - 16 - 15 - 13), enlazados a variables al azar, las cuales se puede deducir que son los amigos de la victima para concretar el engaño.


Adicionalmnete se a detectado que el mismo JavaScript hace a la victima "fan" de otras paginas en facebook que derivan a sus suscriptores a otras webs con la misma modalidad de publicidad y creación de eventos de manera viral como la ya mencionada anteriormente para tener mas cobertura.
Se recomienda finalmente a los usuarios no visitar las webs involucradas ya que si bien no representa una infección real de virus en estos momentos, y solo se aprovecha en el tema de visualización de publicidad, nada puede asegurar que en un futuro dichas paginas webs sean usadas como plataformas para propagar virus reales aprovechando vulnerabilidades en el software de navegación web de los visitantes (Internet Explorer, Firefox, etc).