Conociendo sobre Malware XV - Destripando un Addon Malicioso de Firefox

No Comments
 
 El dia de ayer, se me fue dejar la entrada pensaba que ya la tenia lista para ser publicada, grande y grata fue mi sorpresa al notar que no habia! y ni hoy ¬¬. Pero que va continuamos con la entradas de Conociendo sobre Malware este aporte lo vi en Underc0de que posteo mi amigo Kodeinfect, podremos ver un hermoso tipo de propagación e infección sin mas que decirles los dejo con la entrada.


Hace unos días fui "alertado" de un nuevo método de Infección Masiva de Computadoras, el método consiste en insertar en Websites previamente accedidos ilegitimamente un Falso Add-On de Firefox, que simula ser un Update a una nueva Versión, y que, en realidad, contiene código malicioso, que es ejecutado en cada Reinicio de Firefox, en este caso, el código malicioso que veremos mas adelante, descarga un archivo ".exe" que es ejecutado, de manera que el Ordenador queda Comprometido.

Pasemos a la parte "Practica", al entrar a una Website contaminada con este falso Add-On, Firefox nos pedirá permisos para instalarla.



Al instalar el Add-On, el ordenador queda comprometido, de manera que en cada reinicio de Firefox, se vuelve a descargar y ejecutar el archivo.


Pasemos ahora a un poco de teoría, un Add-On de Firefox tiene la extension ".xpi", que es básicamente un ".zip".


Este es el Código que indica a Firefox que debe instalar el Add encontrado en la Web.



Y este es el Código que descarga y ejecuta el archivo encontrado en el Add-On.


Lo mas Impresionante sin duda alguna, es que el Add-On aún no fue detectado por ninguna Compañía Antivirus.

 

Fuente: putofriki

Vamos aprendiendo mas del mundo de Malware :), atentos a las proximas entradas.. que veremos mas de análisis.

Regards,
Snifer

0 comentarios

Publicar un comentario en la entrada