Facebook Zararlı Eklentileri ve Kurtulma Metodları

 July 22, 2012         2 Comments

Bu yazımda Facebook üzerinden yayılan spam & zararlı içerikli eklentiler hakkında bilgiler vereceğim. Önce bu tip eklentilerin yapısını, nasıl yayıldıklarını daha sonra da bu zararlı eklentileri nasıl temizleyebileceğinizi öğrenmiş ve ileride bu tür uygulamalara karşı bilinçlenmiş olacaksınız.

Herkes en az bir defa bu tip şeylerle karşılaşmıştır. Bir arkadaşınızdan bazı ürün vb. olaylar hakkında duvarınıza çeşitli mesajlar geldiğini görmüşsünüzdür. Normalde arkadaşınızın bundan haberi olmaz bunu yapan maruz kaldığı zararlı eklentilerdir.

Örneğin dün karşılaştığım bir örneği ele alalım. Eklenti bulaştığı kişinin facebook hesabındaki kişilere bir video içeriği gibi görünen bir mesaj atıyor. Ve bunu gören kişi videoyu seyretmek amacıyla play butonuna bastığında olanlar oluyor.

Örneğin;

exam

gibi. Burada aslında bir video varmış gibi görünüyor. Ancak bu bir video değil. Video player görüntüsünde bir resim dosyası ve içerdiği bağlantı bu zararlı eklentiyi yüklemek için hazırlanmış bir adres içeriyor. Kullanıcı izlemek üzere play ikonuna tıkladığında şuna benzer bir ekranla karşılaşıyor.

virusinstall

Kullanıcıya flash player’in güncel olmadığı konusunda sahte bir mesaj veriliyor. Kullanıcı bu mesaja tıkladığında kullandığı tarayıcıya bir eklenti yüklenmek isteniyor. Tarayıcı bu konuda kullanıcıyı uyarıyor ancak çoğu zararlı eklenti bunun normal olduğunu belirterek devam edilmesini söylüyor. İşin gerçeği bu uyarılar her türlü uygulama için verilebilir. Önemli olan kullanıcının güvendiği eklentileri yüklemesi ve beklenmedik bir eklenti yükleme isteğinde bunları kabul etmemesidir.

Kullanıcı bu noktada devam ettiğinde, eklentiye ilişkin bir bilgi penceresi ile eklentinin sizin tarayıcınıza ait ne tür izinleri istediğini görülür. Bu örnekte eklenti web siteleri üzerinde tam erişim hakkı istiyor. Bu noktada şunu bilmenizde fayda var hiçbir geçerli eklenti tarayıcı üstünde tam denetim istecek kadar komplike değildir ve sadece ihtiyaç duyduğu izinleri ister. Tam yetki isteyen eklentileri eklememeniz faydanıza olur. Bu noktadan sonra kullanıcının Ekle butonuna basması ile zararlı eklenti sisteme kurulmuş olur.

Bundan Sonra Neler Oluyor

Bu andan sonra yüklenen script sizin facebook hesabınıza girmenizi bekliyor. Facebook’a ait domain’I tarayıcınıza yazdığınız anda script devreye giriyor.

1

Burada zararlı eklenti dosyasının içeriğini görüyorsunuz. Eklenti çalışmaya başladığında ilk olarak uzak bir server üzerinde tutulan esas parçayı facebook sayfasına enjekte ediyor. Ondan önce eğer enjekte edilmiş bir script bloğu varsa birşey yapmıyor. Gerekli scripti çektikten sonra bunu tarayıcının localStorage’ine yazıyor. localStorage web sitesi ve eklentilerin kendine ait verilerini saklamakta kullandıkları küçük alanlara denilir. Bu zararlı eklenti de tekrar tekrar server’dan çekmemek için bunu localStorage alanına kendini ekliyor. Bir sonraki çalışmasında ilgili scripti localstorage’e cache’lenmiş yerden alarak devam ediyor.

2

Kırmızı dörtgen içine aldığım kısım eklentinin ilk çalışmaya başladığında sayfaya enjekte ettiği bootstrap kodu. Önyükleyici olarak görev yapıyor. Açtığınız facebook sayfalarına kendini ekliyor. Ardından gelen 2 numaralı yeşil dörtgen içine alınmış kısım ise bootstrap kodunun enjekte ettiği esas zararlı script parçası. 3 numaralı bölüme yazının ilerleyen kısımlarında geleceğiz. Şimdiki odak noktamız 2. numaralı blok. 2. numaralı script bloğunu incelediğimizde;

 

9094

Yukarıda 2 numaralı enjekte edilen script’I görüyorsunuz. Bu kısımda 3 farklı işlem yapıyor.

1. blok spam mesajlarını göndermekte kullanacağı access token verisini almak için rastgele belirlediği bir facebook uygulamasını kullanarak kullancıyı otomatik olarak uygulamaya yetkilendirerek o an oturum açmış facebook kullanıcısının access_token değerini almak. access_token verisi uygulamaların sizin profilinizle alakalı işlem yapabilmelerini sağlayan yetkilendirme anahtarıdır. Buna sahip uygulamalar aldığı izinler ölçüsünde profiliniz üzerinde işlem yapabilir. 1. blok bu işi görünmez bir iframe açıp sizden habersiz yükleterek yapıyor.

getFrame

Bu bölümde ilk blokta gördüğümüz fetchList.html içeriğinin Facebook sayfasına enjekte halini görüyoruz. Bu script aktif sayfamızdan aldığı kullanıcı bilgilerimizi argüman olarak geçiyor. Bu script de bu frame içinde bir adet daha görünmez frame açarak doğrulama kısmına geçiyor. Bu bilgileri de açık olan sayfadan ve cookie bilgilerinden ediniyor. En başta belirtmiştim eklenti tüm hakları istiyordu. Tüm hakları almış bir eklenti aktif sayfaya kod enjekte edebilidiği gibi cookie’ler de dahil olmak üzere her bilgiyi edinebilir veya çalabilir. Bu script bloğu da sizin haberiniz olmadan otomatik olarak onay verdiren kod bloğunu yükletiyor.

autogranter

Uygulamaya ait doğrulama isteği frame içinde çalıştırıldıktan sonra otomatik olarak isteğin kabul edilmesini sağlayan kod parçası da frame ile birlikte yükleniyor. Bu noktadan sonra uygulama siz haberiniz olmadan erişime açık hale geliyor.

 

Uygulama kimlik doğrulama işletimi yaptırdıktan sonra callback (geri çağrım) için verdiği script’I çağırarak access token değerini alıyor. Ve ardından spam yapan script bloğunu çalıştırıyor.

authinjection

Access token alındıktan sonra tekrar script spam gönderen scripti sayfaya enjekte ediyor. Kırmızı çizgi altında görülen mesajı post eden script kaynağı. İlgili scripti incelediğimizde şunları görüyoruz

postvirus

Bu script görüldüğü gibi spam içeriği gönderiyor. Access tokeni almış ve listedeki arkadaşlardan birinin feed stream’ine gönderi yapıyor. Bunu da Facebook’un Javascript API SDK’sını kullanarak yapıyor. Script tam haklarla çalıştığından herhangi bir domain uyuşmazlığı sorunu yaşanmıyor. Script bunu kendi içinden başarıyla düzenleyebiliyor. Mesajda “Acun aşık olursa :D eski zamanlarda hızlıydı adam :D“ şeklinde bir mesaj başlığı ile gönderi yapıyor. Bu gönderiden sonra mesaj karşı tarafta şöyle görünecek.

100

Artık başka bir kurbanın gelip bu yemi yutmasını bekleyecek :)

Peki Nasıl Kurtuluruz?

Öncelikle yüklü eklentiyi tarayıcınızdan kaldırmanız gerek. Google chrome için şu adımları izlemeniz yeterli ama diğer tarayıcılarda da benzer şekilde “eklentileri yönet” isimli menüden yapılabilir.

virusremove1

Ardından,

virusremove2

Adımlarını izleyerek zararlı eklentiten kurtulabilirsiniz. Bu işlemden sonra facebook hesabınızdan “Hesap Ayarları –> Uygulamar” menüsünü takip ederek kendi isteğinizle kurmadığınız uygulamaları tespit edip kaldırın.

Uygulama bunun yanı sıra script bloklarını incelerken daha sonra açıklamaya bıraktığım script blokları içinden cinsiyete yönelik reklam da sunuyor. Script otomatik olarak facebook graph api ile aktif kullanıcının gender cinsiyet bilgisini alarak o kişiye yönelik reklamları facebook reklamları ile değiştiriyor.

graph

Ardından reklam yükleyici scripti enjekte ediyor.

fcbcdc

Script obfuscate edilmiş. Bunu herhangi bir script evaluator aracı kullanarak orjinal halini elde edebiliriz. Orjinale çevirip baktığımızda facebook reklamlarını silip yerine kendi reklamlarını yerleştiren bir script ile karşılaşıyoruz. Yani script sadece spam yapmakla kalmıyor aynı zamanda istediği şekilde reklamları da manipüle edebiliyor.

Zararlı eklentiyi sildikten sonra tekrar bu tür şeylerin başınıza gelmemesi için;

1. Duvarınıza paylaşılmış her bağlantıyı doğrudan açmayın. Eğer açacaksanız arkadaşınıza mesaj atarak o mesajı kendinin gönderip göndermediğini sorun aksi halde açmadan kaldırın.

2. Duvarınızı başkalarının paylaşımına kapatabilirsiniz. Böylece spam içerikli mesajlar duvarınıza gelmemiş olur.

3. Açtığınız bağlantı sizden bir güncelleme yapmanızı, program yüklemenizi istiyorsa o işleme devam etmeden mesajı silin.

4. Facebook’da karşınıza çıkan her uygulama isteğini kabul etmeyin. Kabul ederken uygulama izinlerini kontrol edin uygulamanın hangi izinleri istediğini bilip o şekilde uygulamayı yükleyin.

bu tip eklentiler aslında potansiyellerini tam olarak kullanmıyorlar. Bu yöntemle çok rahatlıkla oturum bilgileriniz çalınıp bu bilgiler kullanılarak hesabınıza erişilebilir. Mesajlarınız okunabilir. Veya sizin adınıza tanımadığınız kişilere hakaret içerikli mesajlar gönderilebilir.

Comments

  1. google chrome araçlar uzantılar dedikten sonra işlem yapmıyor direk sekmeyi otamatik kaldırıyor yardımcı olurmusun

  2. muhtemelen sizin browser’a yerleşmiş zararlı eklenti eklentiler yöneticisi tab’ına erişmeyi engelliyor. bu durumda şunu uygulayabilirsiniz.

    Uzantılar menüsünün hemen altındaki “Görev Yöneticisi” kısmını açın. Açılan pencerede çalışan tüm tab, eklentiler vs. görülür. Oradan şüpheli eklentileri pencerenin sağ alt köşesindeki “İşlemi sonlandır” butonuna tıklayıp kapanmaya zorlayın. Eklenti olanları başında Eklenti: şeklinde ibare bulunur. Eklenti: XXX, gibi. İngilizce kullanıyorsanız Extension: XXX şeklinde görülür. Diğerleri tab yani sekme olanları kapatmanıza gerek yok. Her bir şüpheli eklentiyi sonlandırdıktan sonra eklentiler sayfasına girmeyi deneyin. Girebildiğiniz an sizin erişiminizi engelleyen eklenti odur. Onu hemen eklentilerden kaldırın.

    Bu şekilde bir çözüm yolu önerebilirim.

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>