Эпидемия «белых котов» в жж (lj embedded и социальная инженерия)

    Прямо сейчас в Живом журнале бушует эпидемия. Во френдленте появляются коты разной степени противности, с сопутствующим текстом типа «крутая штука» или «смотри, что я нашёл» и ссылкой.

    Если вы нажмёте на ссылку и при этом авторизованы в жж, то ничего не произойдёт. На самом деле, у вас в журнале появится глупый кот, и приглашение сходить по ссылке.

    Выглядит это примерно так:

    image

    Теперь, как это работает. Досконально разбираться мне было некогда, но похоже, что используется известная уязвимость в lj embedded. Фактически происходит обычный перепост. Пароль при этом не компрометируется.
    Работает на win и mac, в opera не сработало, linux не проверялся.
    Хотите посмотреть код (без риска заразиться) — это здесь: Скорее всего там ещё что-то подтягивается.
    Хотите потренироваться на кошках? shadowjack. fatal. ru. Только не удивляйся появившемуся в жж посту.

    Интересно наблюдать за развитием эпидемии. Достаточно взять френдленту какого-то тысячника, как сразу в неё начинают сыпаться коты. По возможности стараюсь людей предупредить, но сами знаете, любопытство неискоренимо.

    Социальная составляющая, так же как и реализация неплохо продумана.
    Будьте бдительны.

    upd 0:44 пошли мутации — теперь по полной используются сокращалки ссылок.

    P.S. В комментариях буду рад увидеть более подробный разбор механизма, у самого руки дойдут только завтра вечером.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 66

      0
      Там в файле foo.html есть еще закомментированная строка с допиской картинки с src= ...img.php. Вот что этот скрипт делает?
        0
        Счетчик, я думаю.
        –1
        Это происходит не только в ЖЖ, но и в твиттере.
          +2
          Если настроена связь с жж
          0
          Успеют запустить в коммерческое пользование до того момента как закроют дырку?
            +4
            Я открыл в режиме инкогнито.
            Вирусняк обиделся
            • UFO just landed and posted this here
                +3
                webcat
                +18
                NoScript ругнулся на XSS и ничего не произошло.
                *пичалька*
                  +27
                  NoScript — как лоботомия, чтоб сны не мучали. На своих сайтах, у кого джаваскрипт выключен, мгновенно отсылаются на страницу с вдумчивым текстом на тему. Ничего личного, сам пользуюсь кликтуфлеш, но носкрипт — это как-то слишком хардкорно.
                    +25
                    > На своих сайтах, у кого джаваскрипт выключен, мгновенно отсылаются на страницу с вдумчивым текстом на тему

                    В свою очередь, я такие сайты тоже посылаю.
                    Ничего личного.
                      +2
                      Ну если вас не смущает однажды перейти по какой-то левой ссылке(ну мало ли от приятеля, или просто случайно) и чтоб XSS увела все ваши печеньки, то да, хардкорно.
                        +5
                        А в чём, собственно, по вашему мнению хардкор? Тонкая подстройка, чего разрешать, чего нет. Спасает и от рекламы, и от всякой дряни, в том числе блокируя iframe. А разрешить сайт в случае чего можно одним кликом, это не долго.

                        Кстати, а можно ссылку на вдумчивый линк по такому делу?
                          0
                          Хардкорно — это когда ты открываешь себе посмотреть 5 вкладок одного сайта, и каждая из них бодро запускает JS на 20% мощности твоего процессора. И всё ради того, чтобы отрисовать красивенькие снежинки или ещё что-то. Я не против JS, и не против красоты, но если разработчики не знают меры, пользователи имеют право на самооборону =)
                            0
                            в носкрипте есть прекрасные белые списки для таких сайтов, которые совсем уж не могут без
                              0
                              Выключенный noscript точно так же будет ругаться на XSS.
                            +9
                            В хроме на маке и линуксе не работает
                              +6
                              А я то думаю… Тыкаю, тыкаю, тыкаю, а ничего не происходит. =(
                              0
                              у меня не сработало
                                0
                                chrome 10, win
                                0
                                Mac OS 10.6.6, Safari 5.0.3 — ничего не произошло.
                                  +1
                                  Страничку shadowjack.fatal.ru уже вычистили.
                                    0
                                    Я около часа назад заходил, было ли зачищено на тот момент — не знаю.
                                    0
                                    Хотя я могу ошибаться, конечно же, и проверяется не только браузер. ЛаднО, буду ковыряться дальше. Есть догадки.
                                    –3
                                    У кого-то есть оригинальное изображение с котом?
                                    Можно попробовать в EXIF покопаться, шансы малы но все же.
                                      +7
                                      что вы хотите узнать? картинка с котом это мем «serious cat»…
                                        +2
                                        К сожалению не знал, жаль.
                                        0
                                        shadowjack.fatal.ru/img/cat2.jpg Из френдленты, вот пост: _http://pajasu.livejournal.com/844508.html
                                        +2
                                        Глупо, потому что это serious cat, известный маскот с всяких *-chan. Более того, известно, что он умер, уже почти пол-года как.
                                          –14
                                          Нотариально заверенные годы жизни?
                                          +1
                                          Примечательно ее распространение
                                          www.tineye.com/search/e22cdcb7c27766dd763de31631ccb297c6725521/
                                            –1
                                            теперь оно может стать еще большим, благодаря кросспостам из ЖЖ.
                                          +18
                                          i a serious cat
                                          this is a serious thread
                                            0
                                            Хэх, зашел таки написать, что это не «глупый кот», но не один я такой умный :)
                                            +5
                                            У меня в опере сработало, Opera 11.01 1190 (Win). Был NoScript, да я его выключил от большого ума — подумал, что элементы сайта не грузятся из-за блокировки. Важную роль для меня сыграл авторитет ссылавшегося жжиста, а так же то, что пост был единичный (волна позже пошла). И я ничего не заподозрил. Стыдъ.
                                                0
                                                Copy-Paste.JS.Whitecat.a
                                                  +27
                                                  image
                                                    0
                                                    Не страшен этот белый кот
                                                    Ни крысам, ни мышам,
                                                    Частенько с ними он ведет
                                                    Беседу по душам.

                                                    Мышей он ласково зовет
                                                    Из ящика без крышки.
                                                    — Эй, малыши! — мурлычет кот, — Давайте в кошки-мышки!

                                                    (с) С.Маршак
                                                    +14
                                                    Я прошу прощения у присутствующих за нескромную просьбу. Написал топик о фильтрации спама в комментариях ЖЖ при помощи php-скрипта, но не хватает 0.3 кармы, чтобы разместить его в блоге. Не мог бы кто-нибудь один мне подбросить?
                                                      +8
                                                      Больше всем спасибо.
                                                        +17
                                                        Редкий случай доброты к просителям :)
                                                          +7
                                                          Знаю) Поэтому особенно благодарен)
                                                            +16
                                                            это эксплоит, у вас кот на аватарке )
                                                      +6
                                                      Кот не глупый, он серьёзный.
                                                        0
                                                        Кроме улыбки эта эпидемия ничего не вызывает :)
                                                          +1
                                                          тиц растет)
                                                          +1
                                                          $
                                                            +4
                                                            Мне этот кот напоминает
                                                            image
                                                            • UFO just landed and posted this here
                                                                0
                                                                В Linux тоже работает, проверял :-)
                                                                  0
                                                                  Firefox, Ubuntu — работает =)

                                                                    0
                                                                    У меня не сработало. Тоже firefox и ubuntu netbook.
                                                                    0
                                                                    Насмешили очень котами этими. Да уж, действительно социальная часть продумана.
                                                                      0
                                                                      В ЖЖ есть странный персонаж с ником Жуковский, более известный как «лысый» или «лысый тролль». Удивительная способность персонажа появляться первым в комментах блогов -тысячников поражает мозг уже не одного среднестатистического блогера.
                                                                      Вот похоже родится еще одна интернет-байка, учитывая что оригинальный блог Лысого-Жуковского посвящен… котам.
                                                                        0
                                                                        Чувак написал бота, что тут удивительного?
                                                                          0
                                                                          О том и речь. Но тысячи ненавистников «лысого» зная слово «бот» не понимают как это выглядит в реальной жизни.
                                                                        0
                                                                        ArchLinux, Google Chrome 10. Не работает.
                                                                          0
                                                                          кто нибудь разобрался как реализован скрипт?
                                                                            –2
                                                                            11.0.672.2 dev — не работает. Ещё вчера «проверил» и удивился что за…
                                                                              0
                                                                              Если бы использовать вместо картинки кота рекламу, вышла бы довольно успешная PR кампания
                                                                                0
                                                                                С отторжением рекламируемого продукта.
                                                                                +1
                                                                                До сей поры никто так и не дал обьяснений, что же там за код такой, и как он работает.
                                                                                  –1
                                                                                  У кого-нибудь есть код в более читаемом виде? Хочется разобраться и заслать его специальным людям.

                                                                                  Тот код, который в посте, слишком видоизменен броузером при сохранении.
                                                                                    0
                                                                                    любопытство неискоренимо?.. да на этом блоггерство и стоит. Самый надежный «крючек»

                                                                                    Only users with full accounts can post comments. Log in, please.