want to advertise here $100 / views

May 16, 2013

Halaman YouTube palsu menargetkan pengguna Chrome

Halaman YouTube palsu adalah salah satu cara yang disukai penyerang memanfaatkan untuk mendapatkan pengguna untuk mengklik pada konten berbahaya

Halaman ini palsu sering terlihat sama, tapi kode sumber dapat mengungkapkan twist baru. Kali ini, sebuah halaman palsu tuan YouTube baru-baru ini ditemui di http://facebook-java.com menargetkan pengguna Google Chrome saja.
hacking
Halaman YouTube palsu

Kami telah menemukan banyak situs berbahaya yang secara khusus menargetkan Internet Explorer atau pengguna Firefox, tapi tidak sering Google Chrome pengguna. Dalam contoh ini, setiap klik pada pemutar video palsu atau iklan palsu mencoba untuk menginstal ekstensi berikut untuk Google Chromen: https://chrome.google.com/webstore/detail/nhmibhinlbilhaflldckbeokphjoifhi .
hacker
Kode JavaScrip yang menginstal ekstensi Chrome

Anda mungkin telah memperhatikan bahwa ekstensi host di toko Google Chrome resmi. Google dinonaktifkan instalasi ekstensi untuk situs pihak ke-3 pada bulan Juni 2012, dan instalasi diam pada akhir 2012.

Halaman toko Chrome tidak menampilkan informasi apapun tentang ekstensi:

news

Mari kita menginstal ekstensi host di http://facebook-java.com/.

Artikel
Daftar izin yang diminta oleh ekstensi

Sebuah ikon baru ditambahkan di samping bar URL:
komputer
Link diarahkan ke http://www.getjava.net/. Hal ini menunjukkan halaman yang sama seperti facebook-java.com. Akan mencoba untuk menginstal ekstensi lain dari toko Chrome, tapi yang satu ini telah dihapus.

getjava.net
Sekarang ekstensi telah diinstal, tidak mungkin ke Tools terbuka atau Pengaturan di Chrome. Sebaliknya, tab terbuka untuk https://www.facebook.com/?get_cod setiap kali fungsi-fungsi yang diakses. Kode yang sesuai dengan perpanjangan berbahaya menunjukkan bagaimana hal itu dilakukan:
Menggantikan tab apapun dengan URL dimulai dengan chrome :/ /
Setelah itu, dalam setiap halaman web dilihat empat script berbahaya yang berbeda dimasukkan. Penulis menggunakan pemendek URL Google untuk memasukkan JavaScript berbahaya:
  • http://goo.gl/9Ky9t => http://profonixcoder.com/yeni/pro.php
  • http://goo.gl/gQhF6 => http://profonixcoder.com/yeni/twitter.php (down)
  • http://goo.gl/t7snI => http://profonixcoder.com/yeni/youtube.php (down)
  • http://goo.gl/jUEgY => http://profonixcoder.com/yeni/askfm.php (down)
Hanya naskah pertama saat ini tersedia. Ia bekerja pada halaman Facebook. Ini saham link menggunakan account pengguna. Dengan nama file lain, kita bisa berasumsi mereka melakukan sesuatu yang mirip di YouTube, Twitter dan Ask.fm

Sepertinya penulis ekstensi ini berbahaya tidak memiliki pendapat yang tinggi keamanan Google dengan menggunakan Google untuk hosting ekstensi dan menggunakan pemendek URL mereka untuk menyuntikkan JavaScript berbahaya.


Sources : Zscaler

Artikel Terkait

0komentar:

Post a Comment