Fake email di PayPal con (presumibilmente) codice JS malevolo

0

Sto chiedendo questa domanda per curiosità; Non sono caduto vittima di questo, sono solo interessato a quello che fa.

Oggi ho ricevuto un'e-mail dal "Team di sicurezza Paypal":

Dear Client,

After closely monitoring a number of unusual activities from your account, we decided to limit the access in the account.

Before we can restore your account back to normal, we need to get some information from you.

Please download and open the attachment file from this email. Furthermore, we ask that you complete the form that we have provided.

After doing so, we are then going to review your information and take the necessary steps to remove the limitations. Please understand that Account Limitations are applied to help keep you protected.

We apologize for the inconvenience.

Sincerely, PayPal

Ecco le intestazioni, con l'IP del mio server di posta rimosso perché in realtà è il mio server privato:

From - Sun Sep 25 18:09:24 2016
X-Account-Key: account1
X-UIDL: 1:2267
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                
Return-Path: <[email protected]>
Received: from 210.115.225.25 (210.115.225.25) (HELO hallym.ac.kr)
 by <myserver> (<myserverip>) with SMTP
 id c2fb6dfb1b98664f; Sun, 25 Sep 2016 17:59:59 +0200
Received: from 96.53.84.19([189.149.72.109]) by hallym.ac.kr with SMTP id 160926005835170B; Mon, 26 Sep 2016 00:58:35 +0900
From: PayPal Security Team <[email protected]>
Subject: Suspicious activity
MIME-Version: 1.0
Message-ID: <[email protected]>
Content-Type: multipart/mixed; boundary="9bc43cfe03082750b916b2a227e24d86"

Il messaggio aveva un singolo allegato, un file HTML - questo è il "modulo" menzionato nel messaggio. In realtà, è una sorta di codice JS offuscato; Sono abbastanza curioso di scoprire cosa fa. È disponibile qui ; mi dispiace di collegarmi a una fonte esterna, ma è piuttosto lungo. Presumibilmente, l'utente doveva aprire il file nel proprio browser, che eseguiva il codice JS e faceva qualcosa di spiacevole.

Ho provato a segnalare questo problema a PayPal, ma "la pagina wasn" Trovato ".

Ciò che è leggermente allarmante è che possiedo un account PayPal e che è registrato all'indirizzo email a cui è stato inviato questo messaggio.

La cosa interessante del dominio è che sembra essere molto vecchio:

Updated Date: 07-oct-2015

Creation Date: 01-dec-2003

Expiration Date: 01-dec-2016

Ho controllato alcuni database whois , con risultati simili.

  1. Che cosa fa?
  2. Si tratta di un nuovo attacco?
  3. Come posso segnalarlo a PayPal?
  4. Come mai questo è stato inviato a un indirizzo email che è effettivamente associato a un account PayPal? C'è stata una perdita di qualche tipo? È una coincidenza?
posta szczurcio 25.09.2016 - 18:56
fonte

1 risposta

3
  1. Che cosa fa?

    Puoi facilmente scoprire cosa fa qualcosa del genere usando uno degli strumenti web "deobfuscation" come www.deobfuscatejavascript.com

    Dei diversi che ho provato, quello era il migliore perché mi dava un risultato reale. Il codice prende la stringa molto lunga e la esegue attraverso le 2 funzioni che la decodificano in una nuova pagina web. Incolla l'intera cosa nel sito elencato e vedrai l'HTML che produce.

    Per inciso, puoi farlo anche tu, se stai attento eseguendo tutto tranne l'ultima riga in Node.JS.

    È difficile vedere cosa fa effettivamente la pagina risultante, sembra che stia cercando di sembrare una vera pagina di Paypal. Avrei bisogno di passare più tempo a guardarlo per risolverlo. Penso che sia sicuro assumere che non è niente di buono.

    Potresti provare a eseguirlo in una VM a eliminazione diretta se desideri scoprire che cosa fa.

  2. Si tratta di un nuovo attacco?

    Chi lo sa! E a chi importa davvero. Questi tipi di cose cambiano migliaia di volte al giorno spesso con piccole variazioni per eliminare l'odore dei segugi del sangue.

  3. Come posso segnalarlo a PayPal?

    Dovresti trovare un link di segnalazione sul sito di PayPal, ma se questo non funziona, ti consiglio un messaggio diretto su Twitter.

  4. Come mai questo è stato inviato a un indirizzo email che è effettivamente associato a un account PayPal? C'è stata una perdita di qualche tipo? È una coincidenza?

    Coincidenza più probabile. PayPal ha sicuramente avuto alcuni problemi con indirizzi email trapelati alcuni anni fa all'inizio, ma nulla per quanto ne so.

Se vuoi evitare questo tipo di cose o almeno rendere più evidenti i problemi, scegli un provider di posta elettronica che consenta o un numero illimitato di indirizzi di posta tramite un catch-all (meno comune in questi giorni a causa dei volumi di spam) o ti permetta di aggiungi un modificatore all'indirizzo.

Ad esempio, se il tuo indirizzo email è "[email protected]", consentirebbe (e Gmail ammette effettivamente) "[email protected]" con il segno "+" che separa il tuo indirizzo effettivo dal modificatore .

Quindi, ogni volta che ti registri per qualcosa, usa un altro modificatore, vedrai comunque tutte le tue email in un unico posto ma vedrai rapidamente se uno dei tuoi indirizzi è stato compromesso e può quindi filtrarlo.

    
risposta data 25.09.2016 - 19:30
fonte

Leggi altre domande sui tag