Questa mattina ho ricevuto questa email dall'aspetto funky di Cerys Evans su un messaggio privato che mi ha inviato. Innanzi tutto voglio menzionare la mancanza di talenti del design che questo attacco ha impiegato e l'immaginazione. L'ID membro di 16666 era immediatamente sospetto.
ecco cosa ho fatto per tornare indietro all'attacco.
Era ovvio dopo aver cercato Cerys Evans su Linked In, che questa persona non esistesse. Il link al tag di ancoraggio era a link quindi ho usato curl e scaricato una copia del codice html, (ho rimosso il link in modo che non ci siano clic su di esso) Se sei curioso, fammi sapere, inoltrerò l'email di phishing.)
curl http://XXXXXXXX.mx/wp-content/investigators.php
<html>
<head>
<title>whats32031 Keep hangs, pansies exposd innocence - already - sit answerd norway summers.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">
function ophiliae() { ophiliaa=30; ophiliab=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]; ophiliac=""; for(ophiliad=0;ophiliad<ophiliab.length;ophiliad++) { ophiliac+=String.fromCharCode(ophiliab[ophiliad]-ophiliaa); } return ophiliac; } setTimeout(ophiliae(),1264);
</script>
</body>
</html>
Controlla il codice javascript! codice super interessante, offuscato, fantastico! Sono andati tutti fuori, usando Unicode e incrementandolo di 30
ophiliaa=30;
ophiliab[ophiliad]-ophiliaa
Ho scritto un po 'di ruby e decodificato il js
#!/usr/bin/ruby
# ruby decoder
# Testing phishing exploit
# Nov 4, 2014
decoded_string = ""
encoded_array=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]
encoded_array.each do |coded|
unobstr = coded - 30
decoded_string << [unobstr].pack("U")
end
puts decoded_string
Il codice javascript risultante è:
window.top.location.href='http://medicaldrugelement.ru';
Ok, ora stiamo andando da qualche parte Ha fatto un whois sul dominio
domain: MEDICALDRUGELEMENT.RU
nserver: ns1.clrmbilj.in.
nserver: ns2.remedialmedselement.com.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: R01-RU
admin-contact: https://partner.r01.ru/contact_admin.khtml
created: 2014.05.26
paid-till: 2015.05.26
free-date: 2015.06.26
source: TCI
Last updated on 2014.11.05 04:11:31 MSK
Ho cercato di arrivare a medialdrugelement.ru usando Hurl.com senza successo. La prima volta che il tempo di risposta è scaduto, la seconda e l'ora successiva ho ricevuto un errore. Ho usato le seguenti intestazioni: Ospite: estrati.mx Accetta: / Accept-Language: en User-Agent: Mozilla / 5.0 (compatibile; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident / 5.0)
Continuerò un po 'più avanti la prossima volta. Se avete suggerimenti o commenti, si prega di commentare!
Leggi altre domande sui tag phishing