Esta mañana recibí este correo electrónico de aspecto curioso de Cerys Evans sobre un mensaje privado que me envió. En primer lugar quiero mencionar la falta de talentos de diseño que este ataque empleó y la imaginación. La identificación de miembro de 16666 fue inmediatamente sospechosa.
aquí está lo que hice para dar marcha atrás en el ataque.
Después de buscar a Cerys Evans en Linked In, era obvio que esta persona no existía. El enlace a la etiqueta de anclaje estaba en enlace así que utilicé curl y descargué una copia del html, (eliminé el enlace para que ninguno haga clic en él). Si tiene curiosidad, avíseme, reenviaré el correo electrónico de phishing.
curl http://XXXXXXXX.mx/wp-content/investigators.php
<html>
<head>
<title>whats32031 Keep hangs, pansies exposd innocence - already - sit answerd norway summers.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">
function ophiliae() { ophiliaa=30; ophiliab=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]; ophiliac=""; for(ophiliad=0;ophiliad<ophiliab.length;ophiliad++) { ophiliac+=String.fromCharCode(ophiliab[ophiliad]-ophiliaa); } return ophiliac; } setTimeout(ophiliae(),1264);
</script>
</body>
</html>
¡Comprueba el código javascript! Super interesante, código ofuscado, genial! Hicieron todo lo posible, usando Unicode y pisándolo en 30
ophiliaa=30;
ophiliab[ophiliad]-ophiliaa
Escribí un poco de rubí y descifre los js
#!/usr/bin/ruby
# ruby decoder
# Testing phishing exploit
# Nov 4, 2014
decoded_string = ""
encoded_array=[149,135,140,130,141,149,76,146,141,142,76,138,141,129,127,146,135,141,140,76,134,144,131,132,91,69,134,146,146,142,88,77,77,139,131,130,135,129,127,138,130,144,147,133,131,138,131,139,131,140,146,76,144,147,69,89]
encoded_array.each do |coded|
unobstr = coded - 30
decoded_string << [unobstr].pack("U")
end
puts decoded_string
El código javascript resultante es:
window.top.location.href='http://medicaldrugelement.ru';
Ok, ahora estamos llegando a alguna parte Hizo un whois en el dominio
domain: MEDICALDRUGELEMENT.RU
nserver: ns1.clrmbilj.in.
nserver: ns2.remedialmedselement.com.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: R01-RU
admin-contact: https://partner.r01.ru/contact_admin.khtml
created: 2014.05.26
paid-till: 2015.05.26
free-date: 2015.06.26
source: TCI
Last updated on 2014.11.05 04:11:31 MSK
Intenté llegar a medialdrugelement.ru utilizando Hurl.com sin éxito. La primera vez que se agotó el tiempo de respuesta, la segunda y la siguiente, recibí un error. Utilicé los siguientes encabezados: Anfitrión: estrati.mx Aceptar: / Aceptar-Idioma: en Usuario-Agente: Mozilla / 5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident / 5.0)
Continuaré un poco más la próxima vez. Si tienes alguna sugerencia o comentario, por favor comenta!
Lea otras preguntas en las etiquetas phishing