Correo electrónico falso de PayPal con (presumiblemente) código JS malicioso

Question

Correo electrónico falso de PayPal con (presumiblemente) código JS malicioso

#1 de Julian Knight (3 votos)

0

Estoy haciendo esta pregunta por curiosidad; No he sido víctima de esto, solo me interesa lo que hace.

Hoy he recibido un correo electrónico del "Equipo de seguridad de Paypal":

Estimado cliente,

Después de monitorear de cerca una serie de actividades inusuales desde su   cuenta, decidimos limitar el acceso a la cuenta.

Antes de que podamos restaurar su cuenta a la normalidad, necesitamos obtener algunos   información de usted.

Descargue y abra el archivo adjunto de este correo electrónico.   Además, le pedimos que complete el formulario que le hemos proporcionado.

Después de hacerlo, revisaremos su información y tomaremos   Los pasos necesarios para eliminar las limitaciones. por favor entiende eso   Las limitaciones de la cuenta se aplican para ayudarlo a mantenerse protegido.

Pedimos disculpas por las molestias.

Sinceramente, PayPal

Aquí están los encabezados, con la IP de mi servidor de correo electrónico eliminada porque en realidad es mi propio servidor privado:

From - Sun Sep 25 18:09:24 2016
X-Account-Key: account1
X-UIDL: 1:2267
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                
Return-Path: <[email protected]>
Received: from 210.115.225.25 (210.115.225.25) (HELO hallym.ac.kr)
 by <myserver> (<myserverip>) with SMTP
 id c2fb6dfb1b98664f; Sun, 25 Sep 2016 17:59:59 +0200
Received: from 96.53.84.19([189.149.72.109]) by hallym.ac.kr with SMTP id 160926005835170B; Mon, 26 Sep 2016 00:58:35 +0900
From: PayPal Security Team <[email protected]>
Subject: Suspicious activity
MIME-Version: 1.0
Message-ID: <[email protected]>
Content-Type: multipart/mixed; boundary="9bc43cfe03082750b916b2a227e24d86"

El mensaje tenía un solo archivo adjunto, un archivo HTML: esta es la "forma" mencionada en el mensaje. En realidad, es una especie de código JS confuso; Tengo bastante curiosidad por saber lo que hace. Está disponible aquí ; Lamento haber enlazado a una fuente externa, pero esto es bastante largo. Presumiblemente, el usuario tenía que abrir el archivo en su navegador, lo que ejecutaría el código JS y haría algo desagradable.

He intentado informar este problema a PayPal, pero "la página no estaba" t encontrado ".

Lo que es un poco alarmante acerca de esto es que poseo una cuenta de PayPal y que está registrada en la dirección de correo electrónico a la que se envió este mensaje.

Lo interesante del dominio es que parece ser muy antiguo:

Fecha de actualización: 07-oct-2015

Fecha de creación: 01-dic-2003

Fecha de vencimiento: 01-dic-2016

He comprobado algunas bases de datos whois , con resultados similares.

¿Qué hace esto?
¿Se trata de un nuevo ataque?
¿Cómo puedo informar esto a PayPal?
¿Por qué se envió esto a una dirección de correo electrónico que en realidad está incluida en una cuenta de PayPal? ¿Ha habido una fuga de algún tipo? ¿Es esto una coincidencia?

phishing email paypal

pregunta szczurcio 25.09.2016 - 18:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas phishing email paypal

Intercambio de archivos a través de DNS Tunneling servidor SFTP: ¿deberíamos evitar los cambios de clave de host SSH?

score 3 · Accepted Answer

¿Qué hace esto?

Puede descubrir fácilmente lo que hace esto utilizando una de las herramientas web "deoffuscation" como www.deobfuscatejavascript.com

De los varios que probé, eso fue lo mejor porque me dio un resultado real. El código toma la cadena muy larga y lo ejecuta a través de las 2 funciones que lo descodifican en una nueva página web. Pega todo en el sitio que aparece en la lista y verás el HTML que produce.

Por cierto, también puedes hacer esto por ti mismo si tienes cuidado al ejecutar todas las líneas excepto la última en Node.JS.

Es difícil ver lo que realmente hace la página resultante, parece estar intentando parecerse a una página de Paypal genuina. Tendría que pasar más tiempo mirándolo para resolverlo. Creo que es seguro asumir que no es nada bueno.

Siempre puedes intentar ejecutarlo en una máquina virtual desechable si quieres averiguar qué hace.
¿Se trata de un nuevo ataque?

¡Quién sabe! Y a quién le importa realmente. Este tipo de cosas cambia mil veces al día, a menudo con pequeñas variaciones para eliminar el olor de los sabuesos antivirus.
¿Cómo puedo informar esto a PayPal?

Debería encontrar un enlace de informe en el sitio de PayPal, pero si eso no funciona, recomiendo un mensaje directo en Twitter.
¿Por qué se envió esto a una dirección de correo electrónico que en realidad está incluida en una cuenta de PayPal? ¿Ha habido una fuga de algún tipo? ¿Es esto una coincidencia?

Lo más probable es la coincidencia. PayPal ciertamente tuvo algunos problemas con las direcciones de correo electrónico filtradas hace algunos años al principio, pero nada desde que tengo conocimiento.

Si desea evitar este tipo de cosas o al menos hacer más obvios los problemas, elija un proveedor de correo electrónico que permita direcciones de correo ilimitadas a través de un catch-all (menos común en estos días debido a los volúmenes de spam) o que le permita agrega un modificador a la dirección.

Por ejemplo, si su dirección de correo electrónico es "[email protected]", permitiría (y Gmail sí lo permite) "yo [email protected]" con el signo "+" separando su dirección real del modificador .

Luego, cada vez que se registre para algo, use un modificador diferente, seguirá viendo todo su correo electrónico en un lugar, pero verá rápidamente si una de sus direcciones se ha visto comprometida y luego puede filtrarla.