09-29-2023, 12:53 AM
Hola! Već smo spominjali u više tema neke od kampanja koje ću u nastavku opisati (prva, druga). U pitanju je, rekao bih, malo ozbiljnija ekipa koja roka na više frontova od jednom, a mi smo samo jedan od mnogih. Za sada sam iskopao približno 150 phishing domena koji se koriste uglavnom kroz kampanje na društvanim mrežama, za sada detektovano na FB i IG.
Patern je isti, kreira se fake news, za nas - napravljenin su lažni TV UNA, K1, Kurir... Onda obavezno ide neka popularna ličnost - Novak Đoković, Jovan Memedović, Miloš Biković, Ana Ivanović, Marija Šerifović, Miodrag Kostić. Za sada najviše afektovani Unicredit Banka i Gazprom.
Veoma često se na FB koristi lažni profil Bispo Inaldo Silva.
Za druge zemlje je slična priča, dosta se gađa i Turska, ali njihove poznate ličnosti baš i ne poznajem, dok npr u Irskoj u lažnom Irish Times izjave daje glumac Graham Norton, Conor McGregor itd...
Ako pokušate da otvorite neki od URL-ova, sadržaj koji će biti serviran zavisi od geolokacije, agenta odnosno da li dolazite sa telefona ili računara, da li ide kroz društvene mreže itd.
Na velikom broju sajtova može i kodu da se nađe URL za phishing kampanju, izgleda mi kao GoPhish, ali ne mogu još uvek da tvrdim jer nisam detaljno istraživao.
Svi serveri su iza CloudFlare-a, skoro svi su registrovani na Namecheap-u, ali su i jedni i drugi veoma inertni po pitanju gašenja domena. Zapravo Namecheap funkcioniše po principu javnog pritiska, npr na zvanični email ili ne odgovori ili odgovori sa "nema dovoljno dokaza i detalja", ali na tw odreaguje i ugasi domene odmah
Evo i dokaza, u par sati odoše dva domena, a iste sam prijavio sa mnogo više dokaza putem zvaničnog email-a i nisam dobio odgovor.
Primetio sam da nisu koristili zaštitu privatnosti registranta na svim domenima, ili bar ne odmah, tako da je (bilo) moguće videti ko je registrovao domen, neke sam uvezivao po Organzaciji koju su uneli u detalja o registrantu, tehničkim kontatima itd. Pokušavao sam i reverse DNS lookup po mail-u, uglavnom bez mnogo uspeha, ali veliki broj domena je već detektovao scamadviser pa sam neke našao jednostavom Google pretragom, i ponešto sam uspeo da skriptujem uz pomoć terminal based browsera. Na kraju sam pretraživao po nekim ključnim rečenicama sa phishing sajtova - i tu je bilo solidnog uspeha.
Što se tiče detekcija, urlquery nema šta da gleda jer nema malicioznog koda, njemu URL-ovi za phishing kampanje u kodu ne predstavljaju problem, dok na VT se tu i tamo javi poneki engine.
Postavio sam dokument na cryptopad sa svim detaljima, podelio sam tabove po mail adresama kojima su registrovani domeni, nisu svi detaljno ispitani, još uvek tuniram bash skripte koje bi olakšale neke pretrage, kada budem okačio na git - ostaviću link ovde.
Ako se neko bude bavio ovime ili imao šta da doda, mogu da podelim i edit link, ovo sam svakako okačio za communiti, nije možda loše dodati domene na neku blacklistu.
Evo i par screenshot-ova:
Patern je isti, kreira se fake news, za nas - napravljenin su lažni TV UNA, K1, Kurir... Onda obavezno ide neka popularna ličnost - Novak Đoković, Jovan Memedović, Miloš Biković, Ana Ivanović, Marija Šerifović, Miodrag Kostić. Za sada najviše afektovani Unicredit Banka i Gazprom.
Veoma često se na FB koristi lažni profil Bispo Inaldo Silva.
Za druge zemlje je slična priča, dosta se gađa i Turska, ali njihove poznate ličnosti baš i ne poznajem, dok npr u Irskoj u lažnom Irish Times izjave daje glumac Graham Norton, Conor McGregor itd...
Ako pokušate da otvorite neki od URL-ova, sadržaj koji će biti serviran zavisi od geolokacije, agenta odnosno da li dolazite sa telefona ili računara, da li ide kroz društvene mreže itd.
Na velikom broju sajtova može i kodu da se nađe URL za phishing kampanju, izgleda mi kao GoPhish, ali ne mogu još uvek da tvrdim jer nisam detaljno istraživao.
Svi serveri su iza CloudFlare-a, skoro svi su registrovani na Namecheap-u, ali su i jedni i drugi veoma inertni po pitanju gašenja domena. Zapravo Namecheap funkcioniše po principu javnog pritiska, npr na zvanični email ili ne odgovori ili odgovori sa "nema dovoljno dokaza i detalja", ali na tw odreaguje i ugasi domene odmah
Evo i dokaza, u par sati odoše dva domena, a iste sam prijavio sa mnogo više dokaza putem zvaničnog email-a i nisam dobio odgovor.
Primetio sam da nisu koristili zaštitu privatnosti registranta na svim domenima, ili bar ne odmah, tako da je (bilo) moguće videti ko je registrovao domen, neke sam uvezivao po Organzaciji koju su uneli u detalja o registrantu, tehničkim kontatima itd. Pokušavao sam i reverse DNS lookup po mail-u, uglavnom bez mnogo uspeha, ali veliki broj domena je već detektovao scamadviser pa sam neke našao jednostavom Google pretragom, i ponešto sam uspeo da skriptujem uz pomoć terminal based browsera. Na kraju sam pretraživao po nekim ključnim rečenicama sa phishing sajtova - i tu je bilo solidnog uspeha.
Što se tiče detekcija, urlquery nema šta da gleda jer nema malicioznog koda, njemu URL-ovi za phishing kampanje u kodu ne predstavljaju problem, dok na VT se tu i tamo javi poneki engine.
Postavio sam dokument na cryptopad sa svim detaljima, podelio sam tabove po mail adresama kojima su registrovani domeni, nisu svi detaljno ispitani, još uvek tuniram bash skripte koje bi olakšale neke pretrage, kada budem okačio na git - ostaviću link ovde.
Ako se neko bude bavio ovime ili imao šta da doda, mogu da podelim i edit link, ovo sam svakako okačio za communiti, nije možda loše dodati domene na neku blacklistu.
Evo i par screenshot-ova:
#BudimoSajberSvesni