InfoSec_razbor Aug 24 at 12:45

Фишинг живее всех живых, кейс из личной почты

2 min

5.8K

Information Security * Reverse engineering * Cloud services * Spamming and anti-spammingAntivirus protection *

+13

Comments 8

fransua Aug 24 at 12:57

Можете рассказать подробнее, как html страница работала с реестром? На видео в html происходит клик по ссылке и переход на google.com, в чем подвох?

InfoSec_razbor Aug 24 at 13:35

Здравствуйте. В статье я, возможно, не до конца конкретизировал это вывод из песочницы. Не сам HTML напрямую работает с реестром, а процессы браузера (msedge.exe / firefox.exe), которые его открывали. Именно они создавали временные файлы и дергали системные ключи, что и зафиксировал анализ. Подвох был в том, что страница вместо google.com вела на «Google-клон» с только что зарегистрированного домена.

persona Aug 24 at 15:57

Стало ещё непонятнее. Как хоть google.com, хоть «Google-клон», может заставить процесс браузера создавать временные файлы и дергать системные ключи?

Noizefan Aug 24 at 16:22

примерно что ясно из статьи:
- письма т банка

- ведущие на гугл клоны

- где стиллеры с закрепами (по определению нерезидентный класс инструментов)

-и хтмл умеющий в редактирование реестра (даже связки эксплоитов в нулевых и десятых были нацелены на execute, а тут сходу реестр - невероятно, и всё видимо ради прогрузки видара)

настоящие Google-домены (google.com, fonts.gstatic.com), это делается, чтобы жертва меньше заподозрила подвох.

а может просто потому что злоумышленники не будут разрабатывать свои шрифты для фейков и гугл аналитику? белые инструменты тоже помогают в черном деле. Кстати, посмотрел бы я на такую жертву, которая знает где вкладка "сеть" в инспекторе и там же умудрится не посмотреть основной домен, он же не первый там в списке, правда?

тот единичный случай, когда лучше бы генерировал с чатгпт

johnsqurrel Aug 24 at 19:24

"что-то" внедрилось в процесс браузера и работает теперь от его имени.
откуда взялось "что-то", как получило управление ? непонятно.
если бы автор включил аудит создания процессов в своем виндовсе
и экспортировал sec.log в реалтайме на более устойчивую систему ...
но он не включил и не экспортировал.
теперь сидим гадаем.
проще завести почту на рамблере и раскидать ее по интернетам.
если фишинг был хоть как-то таргетирован, придется завести на хх резюме
с фейковым опытом и понтами на высокооплачиваемого спеца по ИБ.

BugM Aug 24 at 19:49

Да ничего там не внедрялось. Такие зиродей уязвимости никто не будет палить на массспаме.

Обычный фишинговый домен и все. Как это не удивительно про такие домены стоит в ркн писать, они их оперативно блочат.

Artur_M Aug 24 at 19:13

Здесь всё гораздо проще :)

https://urlscan.io/result/0198d195-f0c6-7749-a1f8-2cb352a4a8b0/

urbailian.ru - первый домен-редиректор

axela.liagomart.site - второй домен редиректор

Увидели google, т.к. не прошли проверку по геозоне. Если бы подключение было из РФ, то дошли бы до третьего домена непосредственно с фишингом под Т-банк. На третьем домене фишинг также прикрыт проверкой геозоны.

Например, один из шаблонов, который бы увидели на последнем домене (эта ветка по Тбанк не для РФ, поэтому проверкой геозоны не прикрыта и загружается на urlscan) - https://urlscan.io/result/0198be7d-0e6c-76bb-ae40-c41e779d89ac/

KEugene Aug 26 at 03:54

Может, с научной точки зрения так и надо анализировать. Но мне, если я не уверен, хватает открыть заголовок письма.