-
Akifcan Hür
☾★ T'ÜRK ☾★
İlgili reklama tıkladığımızda bu sayfa karşılıyor bizi ve sosyal medyayı kullanan kitlenin genelinin yapmak istediği şeyleri tek tek gözümüze sokarak iyice cezbediyor beynimizi ve “harekete geç” dercesine sağdaki seçeneklere tıklamamızı istiyor.
Seçeneklerden birine tıkladığımız zaman otomatik olarak bir eklenti yükle pop-up’ı açıyor. Bu noktadan sonra eklentiyi analiz etmek için kolları sıvamamız gerekiyor ve mağazadan eklentimize ulaşıyoruz.
Hızlıca kaynak kodlarına ulaşmak istediğimden https://johankj.github.io/convert-crx-to-zip/ burayı kullanarak eklentimizi zip formatına dönüştürdük ve “akıllı dostlarımızın” kodlarına bir adım daha yaklaştık.
Gönüllerimizin efendisi, en “güvenilir” dostumuz js karşıladı baştan.(Yanlışlıkla ellerim felan diye uzantıyı değiştirdim. bg.js orijinal dosya adı)
Hızlıca kodları okumaya başlayalım diyerek bir hışımla açtık js dosyamızı. O da nesi ?
Zeki dostlarımız harika bir obfuscate yöntemi ile kodları karıştırmışlar ve benim işimi 3 kat zorlaştırdılar !
“Google’dan” javascript deobfuscator diye aratarak ulaştığım ve işimi hep güzelleştiren “JSNice” yardımcı oldu bu konuda. http://jsnice.org/
Saldırganların, eklentiyi kullananların Facebook cookilerine göz diktiği bariz olarak belli. Tanımladıkları diziye saldırganca komutlarını eleman olarak eklemişler ve “cookieleri_getir” fonksiyonu ile “chrome” fonksiyonuna “cookies” “getAll” parametrelerini verip facebook.com’a ait tüm çerezleri çekmek istemişler ve atamışlar. Ardından “rapor_gonder” fonksiyonuna “success” ve çektiği çerezleri JSON formatında vermiş.
Bu fonksiyon aldığı verileri “http://thiskuki.club/gez.php” adresine yollayan bir fonksiyon. Resimde görüldüğü üzere request için gerekli verileri ve domaini aynı diziden çekmekte ve başarıya ulaşmaya çalışmaktadır.
Gönderilen siteyi henüz inceleme imkanım olmadı ancak vaktim olduğunda onu da inceleyeceğim. Genel olarak saldırının detayları bu şekilde. Daha bugün harekete geçtiler. Dikkat edin, aldanabilecek arkadaşlarınızı uyarın.
