Verdächtiger JavaScript-Code in einer Facebook-Anwendung

Originalartikel von Robert McArdle (Senior Malware Researcher bei Trend Micro)

Die Sicherheitsforscher von TrendLabs haben eine verdächtige Facebook-Seite gefunden, die JavaScript-Code nutzt, um an alle Freunde eines Nutzers Spam zu verschicken. Die Seite “10 lies girls ALWAYS tell guys! funny!” (10 Lügen, die Mädchen IMMER Jungs sagen! Lustig) ist ein klassisches Beispiel dafür, wie Facebook-Seiten JavaScript nutzen können, um Nutzern, die neugierig genug sind, den „Click here“-Button zu betätigen, mit Spam zu versorgen.

Um dies jedoch herauszufinden, müssen die mitgelieferten Anleitungen befolgt werden. Der Nutzer soll Ctrl + C drücken, um JavaScript zu kopieren sowie mit Alt + D die Adressenleiste zu wählen. Die danach folgenden Schritte vom Prompt aus führen JavaScript aus.



Der Code, den Nutzer in die Adressenleiste einfügen sollen, sieht folgendermaßen aus:

Der obere Teil zeigt den Originalcode, den der Nutzer eingeben soll, während der untere Teil den entschlüsselten Code darstellt. Der Originalcode ist entstellt, wobei hier zwei bekannte öffentlich zugängliche JavaScript Obfuscator verwendet wurden — Dean Edwards Packer und Free JavaScript Obfuscator.

Beim schrittweisen Durchgehen des Codes zeigt sich, dass die angegebenen Seitenelemente absichtlich versteckt bleiben. Auch werden die Inhalte eines separat angegebenen Seitenelements mit dem eines anderen Seitenelements überschrieben. Der Code erzeugt auch einen simulierten Mausklick auf das „suggest“-Element der Seite. Zum Ende hin setzt der Code Fünf-Sekunden-Timer, die auf in der Suggestion-Box gefundene Items klicken. Damit werden alle Facebook-Kontakte des Nutzers ausgewählt und mit einer Anwendungsempfehlung versehen. Dann wird ein Mausklick auf das „like me“-Seitenelement simuliert. Dieser Code stellt keine sofortige Bedrohung dar, außer dass er die Facebook-Walls mit Spam zumüllt. Doch kann auch nichts Cyberkriminelle davon abhalten, diese Techniken zum Verbreiten von Malware zu nutzen.

Ryan Flores, Senior Advanced Threats Researcher der TrendLabs, findet die Tatsache bemerkenswert, dass diese Methode der Interaktion des Nutzers bedarf. Facebook filtert aktiv Spam-URLs, sodass Spammer immer ausgeklügeltere Methoden verwenden, um Spam-Sites zu verbreiten, ohne gleich tatsächliche Spam-URLs zu erzeugen. Flores hält diese Methode nicht für neu. Als Beispiel einer solch nicht anzuklickenden Spam-URL nennt er JPG-Bilder. Diese weisen den User na, die im Bild angezeigte URL in die Adresszeile des Browsers einzugeben.

Glücklicherweise wird diese Gefahr gerade aufgrund der benötigten Nutzer-Interaktion vermeidbar. User sollten immer auf der Hut vor gefälschten Anwendungen in Facebook sein und es vermeiden, dubiosen Anleitungen zu folgen.

Ein Gedanke zu „Verdächtiger JavaScript-Code in einer Facebook-Anwendung

  1. Pingback: Tweets die Verdächtiger JavaScript-Code in einer Facebook-Anwendung » blog.trendmicro.de erwähnt -- Topsy.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*