Correo electrónico de phishing con parámetros de URL codificados

2

Recibí un correo electrónico de phishing con el siguiente formato:

  

hxxp: // <% legitSite% > / ~! @% 23 $% 25% 5e & () _ + ~! @% 23 $% 25% 5e & () + ~! @% 23 $% 25% 5e & * () + ~! @% 23 $% 25% 5e & () _ + ~! @% 23 $% 25% 5e & () + ~! @% 23 $% 25% 5e & * () + ~! @% 23 $% 25% 5e & () _ + ~ ! @% 23 $% 25% 5e & () + ~! @% 23 $% 25% 5e & * () + ~! @% 23 $% 25% 5e & () _ + ~! @% 23 $% 25% 5e & () + ~! @% 23 $% 25% 5e & * () + /

pero no puedo entender qué es ~!@%23$%25%5e&*() - ¿es una función js confusa? Veo rastros de esta cadena en google, pero nada concreto en cuanto a lo que hace.

Se traduce a esto:

  

"/ ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & * () + ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & amp ; * () + ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & * () + ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & * () + ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & * () + ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & * () + ~! @ # $% ^ & * () _ + / "

¿Eso sería solo una ruta a un archivo index.php a una descarga de archivos maliciosos?

Un hilo similar en línea:

GET /% 21 @% 23 $% 25% 5E &% 2A% 28% 29% 29% 28% 2A &% 5E% 25 $% 23 @% 21 / Review% 20 / ApproveDocument / Office% 20365_files / shellg2coremincss_ba45585d.css HTTP / 1.1

    
pregunta George 12.01.2018 - 02:45
fuente

1 respuesta

1

Sobre la codificación en tu URL: "/ ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $% ^ & * ( ) + ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $ % ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $% ^ & * () + ~! @ # $% ^ & () + ~! @ # $% ^ & amp ; () + ~! @ # $% ^ & () + ~! @ # $% ^ & () _ + ~! @ # $% ^ & () + ~! @ # $% ^ & () + ~! @ # $% ^ & * () _ + / "Creo que forma parte de la ruta del archivo sospechoso.

Creo que esto tal vez sea Phishing, busco la URL y encontré este sitio:

enlace

Se dice que se reportó para un firewall porque se encuentran datos sospechosos de tráfico.

Puede probar el host en virustotal para leer los informes y tener un conocimiento importante de lo que sucede y la seguridad de que se trata de una URL maliciosa (cuanto más probable es que sí).

    
respondido por el Jorge 12.01.2018 - 06:39
fuente

Lea otras preguntas en las etiquetas