Continuamente los usuarios de redes sociales nos encontramos con contenidos no generados por nosotros en nuestros perfiles de Facebook, cuentas de Twitter , etc. Como sabemos, estos contenidos pueden llegar a representar un peligro para los usuarios desprevenidos que por curiosidad o desconocimiento acceden a ellos. En esta oportunidad hablaremos mas en profundidad de uno de estos casos.

Como detallamos anteriormente, el engaño en Facebook de “¿Sales en un video?” es una amenaza que publica en los muros de Facebook un video en el que el usuario supuestamente aparece. Al hacer clic en el video publicado, automáticamente se abre una nueva página de apariencia idéntica a Facebook pero que obviamente no lo es. Luego de acceder a dicho sitio, se pide al usuario descargar un plugin para poder visualizar correctamente el contenido.

El archivo descargado en cuestión es un plugin para el navegador, de extensión .xpi el cual detallaremos a continuación. Dentro del archivo .xpi encontramos un archivo llamado youtube.js (javascript) que contiene el siguiente código:

Este sencillo script nos vuelve a redireccionar a otro archivo de extensión .js el cual contiene el siguiente código ofuscado:

Para poder analizar correctamente el contenido del script llamado script.js debemos desofuscarlo para que el código sea más entendible. Como se puede apreciar a continuación, el código es ahora mucho mas legible:

Ver más… »

Categories: Análisis de malware
4 Comments »