Estoy en pleno estudio así que esta entrada será breve y posiblemente inconclusa, pero me parece que vale la pena hacerla.
Mientras estudiaba, un contacto de messenger me envió el siguiente mensaje:
Anterior a esta hubo otros, pero que involucraban dominios que no valía la pena analizar, pero este... este dice apps.facebok.com!!!
Como siempre en estas cosas hay que ser cauto, y la verdad que quería hacer clic en ese link :P. En fin, limpié las cookies de mi browser, inicié sesión en una cuenta de facebook que tengo para estas ocasiones especiales e hice clic :D.
NICE!, una vez mas salvado por "non script", en la aplicación en cuestión lograron insertar un iframe, el siguiente:
ZOOM IN:
Podemos ver claramente el dominio al que hace referencia, no me queda claro, almenos aún que está enviando mediante "?signed_request=VALOR", eso me queda por ver cuando tenga mas tiempo.
Hace unos minutos la applicación directamente nos invitaba a descargar "http://christybonham.com/img/facebook-pic0009345919.exe", ahora solamente nos muestra el listado del sitio "http://christybonham.com/img/"
Efecto anterior:
A juzgar por como fueron cambiando las fechas/hora de última actualización de los archivos, se puede decir que están en pleno desarrollo.
Denuncié adecuadamente la aplicación, pero facebook aún no la deshabilitó.
Link del reporte a virus total: http://www.virustotal.com/file-scan/report.html?id=e34cca1509d1ead0f2131049389c42c157ec83b848e6bb8bca4f4fc7a89e0429-1297287029
No tengo tiempo para probar los efectos del .exe, si alguien se anima y me cuenta será muy apreciado!
UPDATE 1:
Pensando un poquito se me ocurrió procesar el parámetro signed_request, con base64 y obtuve esto:
cadena_que_no_pude_descifrar.{"algorithm":"HMAC-SHA256","issued_at":1297282079,"user":{"country":"ar","locale":"es_LA","age":{"min":21}}}
Mis conocimientos de javascript son MUY básicos, pero eso parece ser un HASH, posiblemente la cadena_que_no_pude_descifrar no sea mas que el nombre del hash, un nombre posiblemente asignado por facebook, porque es bastante largo y feo (posiblemente aleatorio). No veo que se estén llevando datos realmente sensibles, al menos no con ese parámetro. Alguien con mas info???
UPDATE 2:
Aparentemente la app de facebook ya fue dada de baja, pero el servidor sigue infectando hosts.