• Roman Sologub

Фішинг під прикриттям PayPal

Хочемо поділитися досвідом аналізу звичайного прикладу фішинг махінації та проаналізуємо наступний лист::

Яку важливу інформацію ми можемо виділити на цьому скріншоті:

1. Цей лист було надіслано нібито від PayPal

2. Він повідомляє про те, що ваш PayPal аккаунт був заблокований, але ви можете відновити його, відкривши файл html і виконавши дії, зазначені в «інструкції»

3. У доданому файлі ми можемо спостерігати html файл.


Для початку, поглянемо на заголовки листа:

Return-Path: <Ѓg>

Received: from smtp.dentalcremer.com.br ([189.16.55.211]) by mx.unitymail.biz

(8.14.7/8.14.7) with ESMTP id u52FCIcl007805 for <user@target.ua>; Thu, 2

Jun 2016 18:12:19 +0300

Date: Thu, 2 Jun 2016 18:12:18 +0300

Received: from 125.111.65.140 ([189.16.55.211]) by smtp.dentalcremer.com.br

with Microsoft SMTPSVC(8.5.9600.16384); Thu, 2 Jun 2016 11:55:06 -0300

From: PayPal <accounts@locked.com>

Subject: Your Account Has Been Limited

Message-ID: <d0db17bebc199e2d1030d28d415bfcd7accounts@locked.com>

Content-Type: multipart/mixed; boundary="9b53dcd6f3cb7f23731e8f4a851ac1a1"

To: undisclosed-recipients:;

MIME-Version: 1.0


Уже перший поверхневий огляд показав нам, що лист відправлений не від компанії PayPal:











Якби ми були більш безпечними і запустили на виконання вкладений файл, то перед нами постала б наступна картина:

Бачимо нібито сторінку для відновлення аккаунта PayPal, на якій необхідно заповнити форму, вказавши свої персональні дані (включаючи пароль!).

Погляньмо на файл зсередини. Ми бачимо, що частина html коду зашифрована, таким чином зловмисник приховує шкідливий код від сторонніх очей. Також файл містить JavaScript код, який при запуску файлу розшифровує шкідливу частину коду.

На наступному скріншоті ми можемо побачити частину зашифрованої html сторінки:

На наступному скріншоті наочно представлений механізм розшифрування, написаний на JavaScript:

У механізмі розшифровки html сторінки знаходимо рядок, що відповідає за запуск вже розшифрованої сторінки html:

Змінимо частину JavaScript коду, позбавивши його можливості запуску:

В результаті отримаємо безпечний спосіб вивчити вже розшифрований код html сторінки.

У розшифрованому коді побачимо, що вся інформація з полів для заповнення відправляється на офіційний сайт PayPal:

Однак, подивившись далі код на JavaScript, ми можемо побачити, що інформація з полів для заповнення так само відправляється і на www.demograph2.net/...php, що ніякого відношення до PayPal вже не має:

Далі знайдемо ip-адресу, за якою був закріплений даний домен в минулому. Для цього можемо скористатися, наприклад, таким ресурсом (http://www.tcpiputils.com/)

Також у нас є можливість переглянути, які домени закріплювалися за цією ip-адресою. Як бачимо, більшість з них були помічені за зловмисними діями, такими як: Hacking, Port Scanning, Brute-Force, dDos, Forum Spam, Ping of Death:

Будьте пильні, перевіряючи свою пошту, особливо якщо мова йде про кредитні картки і банківські рахунки. Звертайте увагу на посилання в адресному рядку, через які у вас запитують особисті дані.

0 views

კონტაქტი

ჩვენ მზად ვართ დაგეხმაროთ

დასაკავშირებლად, გთხოვთ შეავსოთ ფორმა ან დაგვირეკოთ ქვემოთ მითითებულ ნომრებზე.

arrow&amp;v

ვაშინგტონი
1300 I Street NW
400E, ვაშინგტონი
კოლუმბიის რაიონი,
20005
+1 202 749 8432

კიევი
10/14 რედისჩევის ქ., კიევი
უკრაინა,
03124
+380 44 594 8018

თბილისი
33 ბ, ილია ჭავჭავაძის გამზირი, 0179, თბილისი,
საქართველო

+995 32 224 0366

ვროცლავი
გრაბარსკის ქ.
1, 50-079 ვროცლავი,
პოლონეთი

+48 71 747 8705

ალმაატი
808V, შევჩენკოს ქ. 165B, 050009 ალმაატი,
ყაზახეთი

+7 727 341 0024

ვანკუვერი

Suite 2600, Three Bentall Center
ბურარდის ქუჩა 595, საფოსტო ყუთი 49314

ვანკუვერი BC V7X 1L3 კანადა

+1 289 968 4454

ტორონტო

Suite 2201, 250  იონგის ქ.
ტორონტო, ON M5B 2L7, კანადა

+1 647 361 5221

+1 800 573 0922 (უფასო)

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners