Исследования

Раскрываем сетку фишинговых сайтов

Posted on Author DYS

Возможно, кому-то будет полезен простой способ обнаружения фишинговых ресурсов, для внесения в black-лист своей организации или белые хакеры захотят потренироваться в исследовании сайтов злоумышленников.

В очередной раз, не скуки ради, а для поиска новых фишинговых образцов, изучал песочницу для проверки подозрительных файлов и ссылок и наткнулся на https://app.any.run/tasks/bde2cddc-0561-4135-b7d8-689ea45cdfd6/

Фишинговая ссылка выглядела примерно так (сократил, чтобы не перегружать контент) https://elekente<.>top/verifyi…yJekpXM/index.html#br11@maria-ra.ru

В форму автоматически подставлялся email жертвы и ей оставалось ввести пароль.

Через сервис https://suip.biz/ru/?act=domainiphistory узнаем IP сайта elekente.top — 193.25.216.10

Далее узнаем другие сайты, расположенные на этом IP через сервис https://suip.biz/ru/?act=hostmap

Обнаруживаем целую сетку фишинговых сайтов:

www.userbris.top
www.unsatake.top
www.themedevisers.com
www.qfsledgersfirm.com
www.icenitre.top
www.estosivo.top
www.elevemie.top
www.acctcheck.top
userbris.top
unsatake.top
themedevisers.com
qfsledgersfirm.com
miacctlo.top
kazem43.com
josepuerta.com
icenitre.top
hanilgwan.com
estosivo.top
enlesani.top
elevemie.top
elekente.top
elarwile.top
avanitra.top
archolom.top
aceandra.top
accverime.top
acctcheck.top

К доменам добавляем окончание «/verifying_email/bapi/composite/v1/private/message/view_bEt=eyJhbGciOiJIUzI1NiJ9.eyJjd
CI6ImEiLCJiIjoiMTAwNDU1MDAyOCIsInIiOiJodHRwczovL2FwcC5iaW5hbmNlLmNvbS9lbi9te
S9zZXR0aW5ncy9wcm9maWxlP19kcD1MM2RsWW5acFpYY3ZkMlZpZG1sbGR6OTBlWEJsUFdSb
/FptRjFiSFFtYm1WbFpFeHZaMmx1UFdaaGJITmxKblZ5YkQxaFNGSXdZMGhOTmt4NU9UTmt
NMk4xV1cxc2RWbFhOV3BhVXpWcVlqSXdkbHBYTkhaaVdHdDJZekpXTUdSSGJI
VmFNM/index.html»
и видим одну и ту же фишинговую форму авторизации.

Пентестеры могут потренироваться и поизучать их админки. А всё, что остается мне, отправить жалобу их регистратору доменов namesilo.com, адрес для жалоб у которого мы узнаем через http://www.whois-service.ru, что и было сделано.

Возможно, 27 доменов разделегируют, тогда мир на время станет чуть-чуть безопаснее)

Всем добра.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *