[:it]Proprio oggi un amico m’ha informato di qualcosa di strano che stava succedendo al suo account Facebook: un messaggio contenente solo un’immagine (o meglio un file .svg) era stata inviato automaticamente bypassando a tutti gli effetti il filtro delle estensioni di Facebook :
Cos’è un file .svg? Da Wikipedia :
Scalable Vector Graphics (SVG) è un formato d’immagine vettoriale basato su XML per la grafica bidimensionale con supporto per l’interattività e l’animazione. La specifica SVG è uno standard aperto sviluppato dal World Wide Web Consortium (W3C) nel 1999.
In particolare consente d’integrare qualsiasi contenuto si desideri (come JavaScript). Inoltre qualsiasi browser moderno sarà, quindi, in grado di aprire questo file.
I contenuti di ‘photo’ sono i seguenti:
Si tratta di uno script pesantemente offuscato, che, dopo l’apertura, reindirizza al seguente sito:
Un sito web che finge di essere Youtube e che contiene anche un video da Facebook: ovviamente è necessario installare un’estensione aggiuntiva per vederlo 🙂
L’estensione non ha alcuna icona, quindi sembra invisibile e possiede le seguenti autorizzazioni:
Al momento non sono esattamente sicuro di ciò che questa estensione compia, a parte diffondersi automaticamente tramite Facebook (raccogliendo le vostre credenziali durante il processo) ma probabilmente scarica altro malware nella vostra macchina.
Uno dei miei colleghi aveva notato, infatti, un comportamento simile e ha preso un ransomware (Locky) come payload:
Confermato! #Locky si diffonde su #Facebook tramite #Nemucod camuffato come file .svg. Bypassa la whitelist dei file FB. https://t.co/WYRE6BlXIF pic.twitter.com/jgKs29zcaG— peterkruse (@peterkruse) November 20, 2016
La descrizione delle estensioni può essere una delle seguenti e pare semi-casuale. Sono possibili anche altre varianti:
Un ecavu futolaz corabination timefu episu voloda & nbsp;
Ubo oziha jisuyes oyemedu kira nego mosetiv zuhum
Il team di sicurezza di Facebook, così come quello dello store di Google Chrome sono stati avvertiti.
Aggiornamento 22/11/2016
- Le estensioni rogue di Chrome sono state rimosse dallo store.
- Facebook ora filtra anche i file SVG:
Rimozione
Rimuovete l’estensione dannosa dal browser immediatamente:
Inoltre effettuate un’analisi col vostro antivirus e cambiate la password di Facebook subito dopo.
Avvertite i vostri amici di aver inviato un file dannoso, o in caso contrario, fate loro sapere che sono stati infettati. Se continuate a ricevere lo stesso messaggio, potreste bloccare i messaggi. temporaneamente
Conclusione
Siate sempre cauti quando qualcuno v’invia solo un”immagine’, specialmente se non è un comportamento usuale per quella persona.
Inoltre, anche se Facebook e Google hanno controlli/misure di sicurezza eccellenti, qualcosa di negativo può sempre accadere.
Per chi fosse interessato, tutti i file correlati sono stati caricati su VirusTotal e i rispettivi hash e domini possono essere trovati, come sempre, su OTX di AlienVault:
(Il post è stato tradotto grazie all’esplicita autorizzazione di Blaze’s Security Blog)
Fonte: Nemucod downloader spreading via Facebook[:en]Earlier today, a friend of mine notified me of something strange going on with his Facebook account; a message containing only an image (an .svg file in reality) had been sent automatically, effectively bypassing Facebook’s file extension filter:
What is an .svg file? From Wikipedia:
Scalable Vector Graphics (SVG) is an XML-based vector image format for two-dimensional graphics with support for interactivity and animation. The SVG specification is an open standard developed by the World Wide Web Consortium (W3C) since 1999.
This means, more specifically, that you can embed any content you want (such as JavaScript). Moreover, any modern browser will therefore be able to open this file.
Contents of our ‘photo’ are as follows:
It’s a heavily obfuscated script, which, after opening, redirects you to the following website:
A website purporting to be Youtube, including a video from Facebook – of course, you’ll need to install an additional extension to view it 🙂
The extension has no icon and thus seems invisible and has the following permissions:
Currently, I’m not exactly sure what this extension is supposed to do beside spreading itself automatically via Facebook (harvesting your credentials in the process), but likely it downloads other malware to your machine.
One of my security colleagues had in fact noticed similar behavior and got ransomware (Locky) as payload:
Confirmed! #Locky spreading on #Facebook through #Nemucod camouflaged as .svg file. Bypasses FB file whitelist. https://t.co/WYRE6BlXIF pic.twitter.com/jgKs29zcaG— peterkruse (@peterkruse) November 20, 2016
The extensions’ description can be one of the following, and seem semi-random. Note that other variations are possible:
One ecavu futolaz corabination timefu episu voloda
Ubo oziha jisuyes oyemedu kira nego mosetiv zuhum
The Facebook security team as well as Google Chrome’s store security team have been notified.
UPDATE 22/11/2016:
- The rogue Chrome extensions are removed from the store.
- Facebook is now filtering for SVG files as well:
Removal
Remove the malicious extension from your browser immediately:
Additionally, run a scan with your antivirus and change your Facebook password afterwards.
Notify your friends you sent a malicious file, or in the other case, let your friend know he/she is infected. If you keep receiving the same message from your friend, you may want to temporarily block their messages.
Conclusion
As always, be wary when someone sends you just an ‘image’ – especially when it is not how he or she would usually behave.
Additionally, even though both Facebook and Google have excellent security controls/measures in place, something bad can always happen.
For those interested, all related files have been uploaded to VirusTotal, and their hashes and domains can be found, as always, on AlienVault’s OTX:
(The post has been translated with explicit permission of Blaze’s Security Blog)
Source: Nemucod downloader spreading via Facebook[:]