Фішинг під прикриттям PayPal

Хочемо поділитися досвідом аналізу звичайного прикладу фішинг махінації та проаналізуємо наступний лист::

Яку важливу інформацію ми можемо виділити на цьому скріншоті:

1. Цей лист було надіслано нібито від PayPal

2. Він повідомляє про те, що ваш PayPal аккаунт був заблокований, але ви можете відновити його, відкривши файл html і виконавши дії, зазначені в «інструкції»

3. У доданому файлі ми можемо спостерігати html файл.

Для початку, поглянемо на заголовки листа:

Return-Path: <Ѓg>

Received: from smtp.dentalcremer.com.br ([189.16.55.211]) by mx.unitymail.biz

(8.14.7/8.14.7) with ESMTP id u52FCIcl007805 for <user@target.ua>; Thu, 2

Jun 2016 18:12:19 +0300

Date: Thu, 2 Jun 2016 18:12:18 +0300

Received: from 125.111.65.140 ([189.16.55.211]) by smtp.dentalcremer.com.br

with Microsoft SMTPSVC(8.5.9600.16384); Thu, 2 Jun 2016 11:55:06 -0300

From: PayPal <accounts@locked.com>

Subject: Your Account Has Been Limited

Message-ID: <d0db17bebc199e2d1030d28d415bfcd7accounts@locked.com>

Content-Type: multipart/mixed; boundary="9b53dcd6f3cb7f23731e8f4a851ac1a1"

To: undisclosed-recipients:;

MIME-Version: 1.0

Уже перший поверхневий огляд показав нам, що лист відправлений не від компанії PayPal:

Якби ми були більш безпечними і запустили на виконання вкладений файл, то перед нами постала б наступна картина:

Бачимо нібито сторінку для відновлення аккаунта PayPal, на якій необхідно заповнити форму, вказавши свої персональні дані (включаючи пароль!).

Погляньмо на файл зсередини. Ми бачимо, що частина html коду зашифрована, таким чином зловмисник приховує шкідливий код від сторонніх очей. Також файл містить JavaScript код, який при запуску файлу розшифровує шкідливу частину коду.

На наступному скріншоті ми можемо побачити частину зашифрованої html сторінки:

На наступному скріншоті наочно представлений механізм розшифрування, написаний на JavaScript:

У механізмі розшифровки html сторінки знаходимо рядок, що відповідає за запуск вже розшифрованої сторінки html:

Змінимо частину JavaScript коду, позбавивши його можливості запуску:

В результаті отримаємо безпечний спосіб вивчити вже розшифрований код html сторінки.

У розшифрованому коді побачимо, що вся інформація з полів для заповнення відправляється на офіційний сайт PayPal:

Однак, подивившись далі код на JavaScript, ми можемо побачити, що інформація з полів для заповнення так само відправляється і на www.demograph2.net/...php, що ніякого відношення до PayPal вже не має:

Далі знайдемо ip-адресу, за якою був закріплений даний домен в минулому. Для цього можемо скористатися, наприклад, таким ресурсом (http://www.tcpiputils.com/)

Також у нас є можливість переглянути, які домени закріплювалися за цією ip-адресою. Як бачимо, більшість з них були помічені за зловмисними діями, такими як: Hacking, Port Scanning, Brute-Force, dDos, Forum Spam, Ping of Death:

Будьте пильні, перевіряючи свою пошту, особливо якщо мова йде про кредитні картки і банківські рахунки. Звертайте увагу на посилання в адресному рядку, через які у вас запитують особисті дані.