come ritornare a un attacco di phishing? (senza essere infetto) [chiuso]

-5

Questa mattina ho ricevuto questa email dall'aspetto funky di Cerys Evans su un messaggio privato che mi ha inviato. Innanzi tutto voglio menzionare la mancanza di talenti del design che questo attacco ha impiegato e l'immaginazione. L'ID membro di 16666 era immediatamente sospetto.

ecco cosa ho fatto per tornare indietro all'attacco.

    
posta Galuga 05.11.2014 - 04:11
fonte

1 risposta

4

Era ovvio dopo aver cercato Cerys Evans su Linked In, che questa persona non esistesse. Il link al tag di ancoraggio era a link quindi ho usato curl e scaricato una copia del codice html, (ho rimosso il link in modo che non ci siano clic su di esso) Se sei curioso, fammi sapere, inoltrerò l'email di phishing.)

curl http://XXXXXXXX.mx/wp-content/investigators.php

<html>
<head>
<title>whats32031 Keep hangs, pansies exposd innocence - already - sit answerd norway summers.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">
function ophiliae() { ophiliaa=30; ophiliab=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]; ophiliac=""; for(ophiliad=0;ophiliad<ophiliab.length;ophiliad++) { ophiliac+=String.fromCharCode(ophiliab[ophiliad]-ophiliaa); } return ophiliac; } setTimeout(ophiliae(),1264);
</script>
</body>
</html>

Controlla il codice javascript! codice super interessante, offuscato, fantastico! Sono andati tutti fuori, usando Unicode e incrementandolo di 30

ophiliaa=30;
ophiliab[ophiliad]-ophiliaa

Ho scritto un po 'di ruby e decodificato il js

#!/usr/bin/ruby

# ruby decoder
# Testing phishing exploit
# Nov 4, 2014

decoded_string = ""
encoded_array=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]

encoded_array.each  do |coded| 
  unobstr = coded - 30
  decoded_string <<  [unobstr].pack("U")
end 

puts decoded_string

Il codice javascript risultante è:

window.top.location.href='http://medicaldrugelement.ru';

Ok, ora stiamo andando da qualche parte Ha fatto un whois sul dominio

domain:        MEDICALDRUGELEMENT.RU
nserver:       ns1.clrmbilj.in.
nserver:       ns2.remedialmedselement.com.
state:         REGISTERED, DELEGATED, VERIFIED
person:        Private Person
registrar:     R01-RU
admin-contact: https://partner.r01.ru/contact_admin.khtml
created:       2014.05.26
paid-till:     2015.05.26
free-date:     2015.06.26
source:        TCI

Last updated on 2014.11.05 04:11:31 MSK

Ho cercato di arrivare a medialdrugelement.ru usando Hurl.com senza successo. La prima volta che il tempo di risposta è scaduto, la seconda e l'ora successiva ho ricevuto un errore. Ho usato le seguenti intestazioni: Ospite: estrati.mx Accetta: / Accept-Language: en User-Agent: Mozilla / 5.0 (compatibile; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident / 5.0)

Continuerò un po 'più avanti la prossima volta. Se avete suggerimenti o commenti, si prega di commentare!

    
risposta data 05.11.2014 - 04:11
fonte

Leggi altre domande sui tag