Gizlice takip edenleri öğrenirken gizlice gitmeyin

Selamlar. Bugün Facebook’ta gezinirken art arda farklı sayfa isimlerinde aynı reklam sponsorlu olarak gözüme gözüktü. “Seni gizlice takip edenleri hemen öğren” diyerek halkımızın can damarı olan merakından başarıya ulaşmaya çalışan bu reklam tahminimce hayatını sosyal medyaya bağlayan kişileri avlamıştır.

Screenshot_1

İlgili reklama tıkladığımızda bu sayfa karşılıyor bizi ve sosyal medyayı kullanan kitlenin genelinin yapmak istediği şeyleri tek tek gözümüze sokarak iyice cezbediyor beynimizi ve “harekete geç” dercesine sağdaki seçeneklere tıklamamızı istiyor.

Screenshot_2

Seçeneklerden birine tıkladığımız zaman otomatik olarak bir eklenti yükle pop-up’ı açıyor. Bu noktadan sonra eklentiyi analiz etmek için kolları sıvamamız gerekiyor ve mağazadan eklentimize ulaşıyoruz.

Screenshot_3

Hızlıca kaynak kodlarına ulaşmak istediğimden https://johankj.github.io/convert-crx-to-zip/ burayı kullanarak eklentimizi zip formatına dönüştürdük ve “akıllı dostlarımızın” kodlarına bir adım daha yaklaştık.

Screenshot_4
Gönüllerimizin efendisi, en “güvenilir” dostumuz js karşıladı baştan.(Yanlışlıkla ellerim felan diye uzantıyı değiştirdim. bg.js orijinal dosya adı)
Hızlıca kodları okumaya başlayalım diyerek bir hışımla açtık js dosyamızı. O da nesi ?

Screenshot_5

Zeki dostlarımız harika bir obfuscate yöntemi ile kodları karıştırmışlar ve benim işimi 3 kat zorlaştırdılar !
“Google’dan” javascript deobfuscator diye aratarak ulaştığım ve işimi hep güzelleştiren “JSNice” yardımcı oldu bu konuda. http://jsnice.org/

Screenshot_6

Saldırganların, eklentiyi kullananların Facebook cookilerine göz diktiği bariz olarak belli. Tanımladıkları diziye saldırganca komutlarını eleman olarak eklemişler ve “cookieleri_getir” fonksiyonu ile “chrome” fonksiyonuna “cookies” “getAll” parametrelerini verip facebook.com’a ait tüm çerezleri çekmek istemişler ve atamışlar. Ardından “rapor_gonder” fonksiyonuna “success” ve çektiği çerezleri JSON formatında vermiş.
Bu fonksiyon aldığı verileri “http://thiskuki.club/gez.php” adresine yollayan bir fonksiyon. Resimde görüldüğü üzere request için gerekli verileri ve domaini aynı diziden çekmekte ve başarıya ulaşmaya çalışmaktadır.
Gönderilen siteyi henüz inceleme imkanım olmadı ancak vaktim olduğunda onu da inceleyeceğim. Genel olarak saldırının detayları bu şekilde. Daha bugün harekete geçtiler. Dikkat edin, aldanabilecek arkadaşlarınızı uyarın.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s