Era ovvio dopo aver cercato Cerys Evans su Linked In, che questa persona non esistesse.
Il link al tag di ancoraggio era a link
quindi ho usato curl e scaricato una copia del codice html, (ho rimosso il link in modo che non ci siano clic su di esso) Se sei curioso, fammi sapere, inoltrerò l'email di phishing.)
curl http://XXXXXXXX.mx/wp-content/investigators.php
<html>
<head>
<title>whats32031 Keep hangs, pansies exposd innocence - already - sit answerd norway summers.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">
function ophiliae() { ophiliaa=30; ophiliab=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]; ophiliac=""; for(ophiliad=0;ophiliad<ophiliab.length;ophiliad++) { ophiliac+=String.fromCharCode(ophiliab[ophiliad]-ophiliaa); } return ophiliac; } setTimeout(ophiliae(),1264);
</script>
</body>
</html>
Controlla il codice javascript! codice super interessante, offuscato, fantastico!
Sono andati tutti fuori, usando Unicode e incrementandolo di 30
ophiliaa=30;
ophiliab[ophiliad]-ophiliaa
Ho scritto un po 'di ruby e decodificato il js
#!/usr/bin/ruby
# ruby decoder
# Testing phishing exploit
# Nov 4, 2014
decoded_string = ""
encoded_array=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]
encoded_array.each do |coded|
unobstr = coded - 30
decoded_string << [unobstr].pack("U")
end
puts decoded_string
Il codice javascript risultante è:
window.top.location.href='http://medicaldrugelement.ru';
Ok, ora stiamo andando da qualche parte
Ha fatto un whois sul dominio
domain: MEDICALDRUGELEMENT.RU
nserver: ns1.clrmbilj.in.
nserver: ns2.remedialmedselement.com.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: R01-RU
admin-contact: https://partner.r01.ru/contact_admin.khtml
created: 2014.05.26
paid-till: 2015.05.26
free-date: 2015.06.26
source: TCI
Last updated on 2014.11.05 04:11:31 MSK
Ho cercato di arrivare a medialdrugelement.ru usando Hurl.com senza successo. La prima volta che il tempo di risposta è scaduto, la seconda e l'ora successiva ho ricevuto un errore.
Ho usato le seguenti intestazioni:
Ospite: estrati.mx
Accetta: /
Accept-Language: en
User-Agent: Mozilla / 5.0 (compatibile; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident / 5.0)
Continuerò un po 'più avanti la prossima volta. Se avete suggerimenti o commenti, si prega di commentare!