Como el gusano se propagó tan rápido Tumblr

Gusano Tumblr Aunque Tumblr es ahora de limpieza hasta las páginas que fueron afectados por el gusano de hoy en día , SophosLabs fue capaz de explorar brevemente la forma en la propagación de la infección.

Parece ser que el gusano aprovechó característica reblogging Tumblr, lo que significa que cualquier persona que se registra en Tumblr automáticamente reblog el post infecciosa si visitaran una de las páginas ofensivas.

Cada poste afectado tenía algún código malicioso incrustado en su interior:

Código de un mensaje malicioso Tumblr

La cadena de base 64 se ha codificado en realidad JavaScript, escondido dentro de un iFrame que era invisible a simple vista, que arrastró el contenido de una URL. Una vez decodificado, la intención del código se hace más clara.

Código utilizado por el gusano Tumblr

Este código explica por qué algunos usuarios vieron un mensaje pop-up, al parecer procedente de Tumblr:

Pop-up mensaje

Si no se ha iniciado sesión en Tumblr cuando el navegador visitó la url, simplemente se le redirigirá a la página de inicio de sesión estándar. Sin embargo, si el equipo se ha iniciado sesión en Tumblr, que se traduciría en el contenido GNAA se reblogueado en su propio Tumblr.

Reblogged post on Tumblr

(Por cierto, Sophos está protegiendo a los clientes por el bloqueo del acceso a la url strangled.net)

No debería haber sido posible que alguien publicar JavaScript malicioso en un mensaje Tumblr – nuestra hipótesis es que los atacantes lograron rodear las defensas de Tumblr por disfrazar su código a través de base 64 codificación y incrustarlo en un src = "data:" etiqueta de atributo.

Gracias a SophosLabs experto Fraser Howard por su ayuda con este artículo.