Topic: Leggere il contenuto di una estensione e capire chi lo ha prodotta

[crazy.cat]

Ho trovato una presunta estensione, dico presunta perché è un sospetto malware, chiamata goya@flowerbag.xpi, non sembra fare niente al momento però ha bloccato l'accesso a Estensione e Temi quindi non posso più vederla o rimuoverla se non cancellando il suo file xpi nella cartella del profilo.
Scansioni con vari antimalware non hanno rilvato nulla.
La stavo provando in una macchina virtuale e quindi il problema non è tanto eliminarla ma cercare di capire a cosa serve o chi è stato a farla.
Riuscite a darmi qualche suggerimento?
Grazie

[next]

Quelle su Mozilla AddOns sono firmate digitalmente da parecchi anni per cui l'autore è generalmente noto.
Quelle non firmate digitalmente non dovrebbero neppure installarsi a meno di non essere sulla development edition di Firefox
Comunque puoi aprirla come un normale file zip, la maggior parte dei file sono testo, javascript, e html solitamente.
O se vuoi caricarla da qualche parte...

[Iceberg]

Quel nome non sembra associato a nessuna estensione, buona o cattiva che sia.
Estratto il file xpi, al suo interno dovresti avere una cartella chiamata META-INF contenente la firma digitale e un file manifest.json contenente nelle prime righe informazioni di identificazione, come nome, versione, autore, breve descrizione di cosa fa, link al sito di provenienza.
La firma digitale è obbligatoria e deve essere corretta al bit per consentire l'installazione dell'estensione, guarda solo che esiste, il controllo lo fa Firefox. Le altre informazioni sono a discrezione dell'autore.

Se la carichi da qualche parte, come sopra suggerito, possiamo provare a giocarci.   

[crazy.cat]

Grazie per le risposte, non ricordavo che si potesse estrarre il contenuto del file, in effetti ci sono svariati file js al suo interno
L'estensione è questa

Codice: [Seleziona]

https://www.mediafire.com/file/4mv0nc97t6y265m/goya%2540flowerbag.xpi/file
Ci si arriva dopo essere stati rimbalzati da un sito di hosting su alcuni redirect, se si punta direttamente al sito non funziona si viene rimandati in home page del browser.

Il comportamento è questo


Il comportamento dell'estensione è sospetto e poi uno non si perde ad aprire un sito del genere senza avere un qualche ritorno.

[next]

Da una rapida occhiata le cose più interessanti le ho viste nel file manifest.json
Qui c'è un rimando al un sito

Codice: [Seleziona]

https://************-backend.com/data.jsonche serve a verificare se l'estensione è aggiornata.

La descrizione è assolutamente generica:

Codice: [Seleziona]

********* is the most powerfull app for manage our system
Interessante invece che chieda permessi molto estesi e che in particolare chieda i permessi per poter "manipolare" i domini principali di Facebook

Codice: [Seleziona]

"permissions": [
    "tabs",
    "webRequest",
    "webRequestBlocking",
    "https://www.facebook.com/*",
    "https://facebook.com/*",
    "https://*.facebook.com/*",
    "https://fb.com/*",
    "*://facebook.com/*",
    "*://*.facebook.com/*",
    "*://m.facebook.com/*",
    "*://www.facebook.com/*",
    "*://heyitsprivatebro.to/*",
    "<all_urls>"
  ]

Comunque su Firefox standard non si installa, il ché forse ci dovrebbe portare ad essere più magnanimi con Mozilla che è stata molto criticata quando ha introdotto l'obbligo di firma digitale per le estensioni.

Con un po' di tempo sarebbe interessante analizzare i file javascript...

[crazy.cat]

Comunque su Firefox standard non si installa

Sul mio si è installato però, ultima versione di firefox appena scaricata.

[Iceberg]

Sotto l'icona dell'estensione. Dovrebbe essere una icona generica da social. Sapete se è invece associata a una specifica estensione o sito?
Facendo una ipotesi, potrebbe trattarsi di una vera estensione, social visti anche i permessi che chiede, modificata per scopi truffaldini. Estensione che, in qualche modo, forse appoggiandosi ad altra estensione, riesce in alcuni casi a scavalcare il controllo di Mozilla.

[next]

Sul mio si è installato però, ultima versione di firefox appena scaricata.

Hai ragione, sulla 91 ESR mi da un errore ma sulla 94 si installa.
Una volta installata, Firefox si chiude ogni volta che provo ad accedere ad about:addons

La ricerca sull'icona non mi ha portato da nessuna parte https://tineye.com/search/4581840a58a46bd3bb4b43b48b6934571dc1ec9e?sort=score&order=desc&page=1

edit:
in Modalità risoluzione dei problemi si può accedere normalmente ad about:addons e rimuovere l'estensione

[crazy.cat]

Visto che sono molto curioso per queste cose strane ho fatto qualche altra ricerca, sembra proprio che sia una estensione Unseen for Facebook che è stata fatta sparire dagli store da qualche tempo perché giudicata un malware

Codice: [Seleziona]

https://chrome-stats.com/d/jiomcgpfgkeefipihnplhadgdoollmap
Il sito fbunseen.org, a cui rimandano i link della privacy e dei termini di utilizzo presenti nella pagina del download di cui ho postato la foto, è ancora attivo ma il suo pulsante Install rimanda a una pagina dello store di chrome non più presente.
Se non è la stessa estensione è quanto meno ispirata a quella.

Esistono delle altre estensioni dal nome simile, se non uguale, nei vari store ancora disponibili.

Analizzando il traffico del browser con Fiddler si vedono numerose chiamate a siti molto strani e l'estensione che va a richiamare più volte uno dei siti che aveva visto anche next nel file json.

Adesso ho il materiale necessario per costruirci un articolo.

[miki64]

Adesso ho il materiale necessario per costruirci un articolo.

Mi raccomando, specifica sempre su TurboLab.it che qualsiasi estensione non conosciuta andrebbe provata almeno su un nuovo profilo di prova, se non lo si vuol fare su una macchina virtuale o (se su Windows) tramite l'eccellente Shadow Defender. 

[deckard]

[...Omissis...] se non lo si vuol fare su una macchina virtuale o (se su Windows) tramite l'eccellente Shadow Defender. 

In una discussione opportuna nella sezione “Altro” si potrebbe parlare di programmi seri per la sicurezza e componenti aggiuntivi per Firefox / Thunderbird. In ogni caso in alternativa a Shadow Defender ci sono le applicazioni di Sandboxing come Sandboxie Classic / Plus.

[crazy.cat]

Mi raccomando, specifica sempre su TurboLab.it che qualsiasi estensione non conosciuta andrebbe provata

Ma certamente  , così dovrei essere stato abbastanza chiaro:

Codice: [Seleziona]

Per fare prove di questo genere, con estensioni (o file) molto sospette e provenienti da fonti non ufficiali, non dovete mai affidarvi al vostro profilo reale di Firefox (o di Windows), ma crearne uno apposito, usare Sandboxie o, ancora meglio, crearvi una macchina virtuale con VirtualBox, così da isolarvi completamente dal vostro sistema operativo reale.
Se siete caduti nel tranello e avete fatto un login a qualche sito o servizio, la prima cosa da fare è cambiare le password utilizzate prima che vi venga rubato l’account, soldi o qualche dato riservato.
Dopo aver perso Toolwiz time free, non più compatibile con windows 10/11, ormai uso solo una macchina virtuale in virtualbox. Tanto ci vuole poco a farla, incasinarla, buttarla e ricrearla se serve.

[miki64]

Sei stato molto chiaro, bene.

Io usavo Toolwiz Time Free (scoperto proprio grazie a TurboLab.it), ma adesso le mie preferenze vanno a Shadow Defender per i motivi sotto elencati.

CHE COS'È:
------------------
Shadow Defender è un programma che permette di virtualizzare il proprio computer, in maniera facile e veloce in modo - rendendolo praticamente di "sola lettura" - da proteggerlo contro attività dannose e modifiche indesiderate.
Shadow Defender è meno complesso e  di dimensioni di gran lunga minori (5,10 MB) rispetto ad una macchina virtuale come VirtualBox (315 MB).
Shadow Defender è più completo di una soluzione tipo sandbox limitata ad un solo file di test.
Un altro ottimo programma simile, ma free, è Toolwiz Time Freeze (che però non protegge tutte le unità presenti in un PC ma solo quella di sistema).
Shadow Defender consente anche il riavvio del sistema operativo in sola lettura.