Autore Topic: Leggere il contenuto di una estensione e capire chi lo ha prodotta  (Letto 948 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline crazy.cat

  • Post: 892
Ho trovato una presunta estensione, dico presunta perché è un sospetto malware, chiamata goya@flowerbag.xpi, non sembra fare niente al momento però ha bloccato l'accesso a Estensione e Temi quindi non posso più vederla o rimuoverla se non cancellando il suo file xpi nella cartella del profilo.
Scansioni con vari antimalware non hanno rilvato nulla.
La stavo provando in una macchina virtuale e quindi il problema non è tanto eliminarla ma cercare di capire a cosa serve o chi è stato a farla.
Riuscite a darmi qualche suggerimento?
Grazie

Offline next

  • Post: 3267
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #1 il: 07 Novembre 2021 21:28:57 »
Quelle su Mozilla AddOns sono firmate digitalmente da parecchi anni per cui l'autore è generalmente noto.
Quelle non firmate digitalmente non dovrebbero neppure installarsi a meno di non essere sulla development edition di Firefox
Comunque puoi aprirla come un normale file zip, la maggior parte dei file sono testo, javascript, e html solitamente.
O se vuoi caricarla da qualche parte...

Offline Iceberg

  • Moderatore
  • Post: 9215
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #2 il: 07 Novembre 2021 21:49:21 »
Quel nome non sembra associato a nessuna estensione, buona o cattiva che sia.
Estratto il file xpi, al suo interno dovresti avere una cartella chiamata META-INF contenente la firma digitale e un file manifest.json contenente nelle prime righe informazioni di identificazione, come nome, versione, autore, breve descrizione di cosa fa, link al sito di provenienza.
La firma digitale è obbligatoria e deve essere corretta al bit per consentire l'installazione dell'estensione, guarda solo che esiste, il controllo lo fa Firefox. Le altre informazioni sono a discrezione dell'autore.

Se la carichi da qualche parte, come sopra suggerito, possiamo provare a giocarci.   :P

Offline crazy.cat

  • Post: 892
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #3 il: 08 Novembre 2021 05:24:37 »
Grazie per le risposte, non ricordavo che si potesse estrarre il contenuto del file, in effetti ci sono svariati file js al suo interno
L'estensione è questa
Codice: [Seleziona]
https://www.mediafire.com/file/4mv0nc97t6y265m/goya%2540flowerbag.xpi/file
Ci si arriva dopo essere stati rimbalzati da un sito di hosting su alcuni redirect, se si punta direttamente al sito non funziona si viene rimandati in home page del browser.

Il comportamento è questo


Il comportamento dell'estensione è sospetto e poi uno non si perde ad aprire un sito del genere senza avere un qualche ritorno.


Offline next

  • Post: 3267
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #4 il: 08 Novembre 2021 08:34:55 »
Da una rapida occhiata le cose più interessanti le ho viste nel file manifest.json
Qui c'è un rimando al un sito
Codice: [Seleziona]
https://************-backend.com/data.jsonche serve a verificare se l'estensione è aggiornata.

La descrizione è assolutamente generica:
Codice: [Seleziona]
********* is the most powerfull app for manage our system
Interessante invece che chieda permessi molto estesi e che in particolare chieda i permessi per poter "manipolare" i domini principali di Facebook
Codice: [Seleziona]
"permissions": [
    "tabs",
    "webRequest",
    "webRequestBlocking",
    "https://www.facebook.com/*",
    "https://facebook.com/*",
    "https://*.facebook.com/*",
    "https://fb.com/*",
    "*://facebook.com/*",
    "*://*.facebook.com/*",
    "*://m.facebook.com/*",
    "*://www.facebook.com/*",
    "*://heyitsprivatebro.to/*",
    "<all_urls>"
  ]

Comunque su Firefox standard non si installa, il ché forse ci dovrebbe portare ad essere più magnanimi con Mozilla che è stata molto criticata quando ha introdotto l'obbligo di firma digitale per le estensioni.

Con un po' di tempo sarebbe interessante analizzare i file javascript...

Offline crazy.cat

  • Post: 892
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #5 il: 08 Novembre 2021 09:50:44 »
Comunque su Firefox standard non si installa
Sul mio si è installato però, ultima versione di firefox appena scaricata.

Offline Iceberg

  • Moderatore
  • Post: 9215
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #6 il: 08 Novembre 2021 10:23:03 »
Sotto l'icona dell'estensione. Dovrebbe essere una icona generica da social. Sapete se è invece associata a una specifica estensione o sito?
Facendo una ipotesi, potrebbe trattarsi di una vera estensione, social visti anche i permessi che chiede, modificata per scopi truffaldini. Estensione che, in qualche modo, forse appoggiandosi ad altra estensione, riesce in alcuni casi a scavalcare il controllo di Mozilla.



Offline next

  • Post: 3267
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #7 il: 08 Novembre 2021 10:44:06 »
Sul mio si è installato però, ultima versione di firefox appena scaricata.

Hai ragione, sulla 91 ESR mi da un errore ma sulla 94 si installa.
Una volta installata, Firefox si chiude ogni volta che provo ad accedere ad about:addons

La ricerca sull'icona non mi ha portato da nessuna parte :( https://tineye.com/search/4581840a58a46bd3bb4b43b48b6934571dc1ec9e?sort=score&order=desc&page=1

edit:
in Modalità risoluzione dei problemi si può accedere normalmente ad about:addons e rimuovere l'estensione
« Ultima modifica: 08 Novembre 2021 10:49:39 da next »

Offline crazy.cat

  • Post: 892
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #8 il: 09 Novembre 2021 05:42:24 »
Visto che sono molto curioso per queste cose strane ho fatto qualche altra ricerca, sembra proprio che sia una estensione Unseen for Facebook che è stata fatta sparire dagli store da qualche tempo perché giudicata un malware
Codice: [Seleziona]
https://chrome-stats.com/d/jiomcgpfgkeefipihnplhadgdoollmap
Il sito fbunseen.org, a cui rimandano i link della privacy e dei termini di utilizzo presenti nella pagina del download di cui ho postato la foto, è ancora attivo ma il suo pulsante Install rimanda a una pagina dello store di chrome non più presente.
Se non è la stessa estensione è quanto meno ispirata a quella.

Esistono delle altre estensioni dal nome simile, se non uguale, nei vari store ancora disponibili.

Analizzando il traffico del browser con Fiddler si vedono numerose chiamate a siti molto strani e l'estensione che va a richiamare più volte uno dei siti che aveva visto anche next nel file json.

Adesso ho il materiale necessario per costruirci un articolo.


Offline miki64

  • Moderatore
  • Post: 35994
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #9 il: 09 Novembre 2021 15:48:21 »
Adesso ho il materiale necessario per costruirci un articolo.
Mi raccomando, specifica sempre su TurboLab.it che qualsiasi estensione non conosciuta andrebbe provata almeno su un nuovo profilo di prova, se non lo si vuol fare su una macchina virtuale o (se su Windows) tramite l'eccellente Shadow Defender.  ;)

Offline deckard

  • Post: 3772
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #10 il: 09 Novembre 2021 23:50:14 »
[...Omissis...] se non lo si vuol fare su una macchina virtuale o (se su Windows) tramite l'eccellente Shadow Defender.  ;)

In una discussione opportuna nella sezione “Altro” si potrebbe parlare di programmi seri per la sicurezza e componenti aggiuntivi per Firefox / Thunderbird. In ogni caso in alternativa a Shadow Defender ci sono le applicazioni di Sandboxing come Sandboxie Classic / Plus.

Offline crazy.cat

  • Post: 892
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #11 il: 10 Novembre 2021 05:26:40 »
Mi raccomando, specifica sempre su TurboLab.it che qualsiasi estensione non conosciuta andrebbe provata
Ma certamente  :D, così dovrei essere stato abbastanza chiaro:
Codice: [Seleziona]
Per fare prove di questo genere, con estensioni (o file) molto sospette e provenienti da fonti non ufficiali, non dovete mai affidarvi al vostro profilo reale di Firefox (o di Windows), ma crearne uno apposito, usare Sandboxie o, ancora meglio, crearvi una macchina virtuale con VirtualBox, così da isolarvi completamente dal vostro sistema operativo reale.
Se siete caduti nel tranello e avete fatto un login a qualche sito o servizio, la prima cosa da fare è cambiare le password utilizzate prima che vi venga rubato l’account, soldi o qualche dato riservato.

Dopo aver perso Toolwiz time free, non più compatibile con windows 10/11, ormai uso solo una macchina virtuale in virtualbox. Tanto ci vuole poco a farla, incasinarla, buttarla e ricrearla se serve.

Offline miki64

  • Moderatore
  • Post: 35994
Re:Leggere il contenuto di una estensione e capire chi lo ha prodotta
« Risposta #12 il: 10 Novembre 2021 14:17:31 »
Sei stato molto chiaro, bene.

Io usavo Toolwiz Time Free (scoperto proprio grazie a TurboLab.it), ma adesso le mie preferenze vanno a Shadow Defender per i motivi sotto elencati.

Citazione
CHE COS'È:
------------------
Shadow Defender è un programma che permette di virtualizzare il proprio computer, in maniera facile e veloce in modo - rendendolo praticamente di "sola lettura" - da proteggerlo contro attività dannose e modifiche indesiderate.
Shadow Defender è meno complesso e  di dimensioni di gran lunga minori (5,10 MB) rispetto ad una macchina virtuale come VirtualBox (315 MB).
Shadow Defender è più completo di una soluzione tipo sandbox limitata ad un solo file di test.
Un altro ottimo programma simile, ma free, è Toolwiz Time Freeze (che però non protegge tutte le unità presenti in un PC ma solo quella di sistema).
Shadow Defender consente anche il riavvio del sistema operativo in sola lettura.

0 Utenti e 1 Visitatore stanno visualizzando questo topic.