• Roman Sologub

Фішинг під прикриттям PayPal

Хочемо поділитися досвідом аналізу звичайного прикладу фішинг махінації та проаналізуємо наступний лист::

Яку важливу інформацію ми можемо виділити на цьому скріншоті:

1. Цей лист було надіслано нібито від PayPal

2. Він повідомляє про те, що ваш PayPal аккаунт був заблокований, але ви можете відновити його, відкривши файл html і виконавши дії, зазначені в «інструкції»

3. У доданому файлі ми можемо спостерігати html файл.


Для початку, поглянемо на заголовки листа:

Return-Path: <Ѓg>

Received: from smtp.dentalcremer.com.br ([189.16.55.211]) by mx.unitymail.biz

(8.14.7/8.14.7) with ESMTP id u52FCIcl007805 for <user@target.ua>; Thu, 2

Jun 2016 18:12:19 +0300

Date: Thu, 2 Jun 2016 18:12:18 +0300

Received: from 125.111.65.140 ([189.16.55.211]) by smtp.dentalcremer.com.br

with Microsoft SMTPSVC(8.5.9600.16384); Thu, 2 Jun 2016 11:55:06 -0300

From: PayPal <accounts@locked.com>

Subject: Your Account Has Been Limited

Message-ID: <d0db17bebc199e2d1030d28d415bfcd7accounts@locked.com>

Content-Type: multipart/mixed; boundary="9b53dcd6f3cb7f23731e8f4a851ac1a1"

To: undisclosed-recipients:;

MIME-Version: 1.0


Уже перший поверхневий огляд показав нам, що лист відправлений не від компанії PayPal:











Якби ми були більш безпечними і запустили на виконання вкладений файл, то перед нами постала б наступна картина:

Бачимо нібито сторінку для відновлення аккаунта PayPal, на якій необхідно заповнити форму, вказавши свої персональні дані (включаючи пароль!).

Погляньмо на файл зсередини. Ми бачимо, що частина html коду зашифрована, таким чином зловмисник приховує шкідливий код від сторонніх очей. Також файл містить JavaScript код, який при запуску файлу розшифровує шкідливу частину коду.

На наступному скріншоті ми можемо побачити частину зашифрованої html сторінки:

На наступному скріншоті наочно представлений механізм розшифрування, написаний на JavaScript:

У механізмі розшифровки html сторінки знаходимо рядок, що відповідає за запуск вже розшифрованої сторінки html:

Змінимо частину JavaScript коду, позбавивши його можливості запуску:

В результаті отримаємо безпечний спосіб вивчити вже розшифрований код html сторінки.

У розшифрованому коді побачимо, що вся інформація з полів для заповнення відправляється на офіційний сайт PayPal:

Однак, подивившись далі код на JavaScript, ми можемо побачити, що інформація з полів для заповнення так само відправляється і на www.demograph2.net/...php, що ніякого відношення до PayPal вже не має:

Далі знайдемо ip-адресу, за якою був закріплений даний домен в минулому. Для цього можемо скористатися, наприклад, таким ресурсом (http://www.tcpiputils.com/)

Також у нас є можливість переглянути, які домени закріплювалися за цією ip-адресою. Як бачимо, більшість з них були помічені за зловмисними діями, такими як: Hacking, Port Scanning, Brute-Force, dDos, Forum Spam, Ping of Death:

Будьте пильні, перевіряючи свою пошту, особливо якщо мова йде про кредитні картки і банківські рахунки. Звертайте увагу на посилання в адресному рядку, через які у вас запитують особисті дані.

Просмотров: 0
arrow&amp;v

Washington DC

1300 I Street NW

Suite 400E, Washington

District of Columbia, 20005

+1 202 749 8432

Kyiv

 

10/14 Radyscheva St., Kyiv

Ukraine, 03124

+380 44 594 8018

Tbilisi

 

33b Ilia Chavchavadze ave, 0179, Tbilisi, 

Georgia
+995 32 224 0366

Wrocław

 

1 Grabarska st., 50-079  Wrocław,

Poland

+48 71 747 8705

Almaty

808V, 165B Shevchenko St, 050009, Almaty,

Kazakhstan

+7 727 341 0024

k z @ i s s p . c o m

Vancouver

Suite 2600, Three Bentall Centre 
595 Burrard St., PO Box 49314 
Vancouver BC V7X 1L3 Canada
+1 289 968 4454

i n f o @ i s s p . c o m

Copyright © 2020 ISSP. All rights reserved.