Login

VincaSec

Neko je na Redditu rekao kada udje na sajt snp-a, da ga odmah redirektuje do nekih reklama.

Kao na primer ovo:

Filename: Capture (1).JPG Size: 32.71 KB 12-22-2023, 08:05 PM

Poceo sam da analiziram sajt i primetio sam jedan hiperlink koji sadrzi cudan subdomen
four(.)startperfectsolutions(.)com

Filename: Capture1.JPG Size: 79.28 KB 12-22-2023, 08:06 PM

VirusTotal kaze da je maliciozan.
https://www.virustotal.com/gui/domain/fo...utions.com

Filename: Capture2.JPG Size: 69.29 KB 12-22-2023, 08:08 PM

subdomen vodi do ove IP adrese:
https://www.ip-tracker.org/lookup.php?ip=80.66.79.247

Filename: Capture6.JPG Size: 101.28 KB 12-22-2023, 08:08 PM

Kad sam pretrazio domen na google, dobio sam razlicite izvestaje tog domena koji ukazuju da je maliciozan, Malwarebytes ga blokira.

Filename: Capture4.JPG Size: 77.47 KB 12-22-2023, 08:08 PM

Domen je povezan sa 4 subdomena, jedan od njih je pronađen na sajtu snp-a.
https://www.virustotal.com/gui/domain/st.../relations

Filename: Capture5.JPG Size: 63.86 KB 12-22-2023, 08:06 PM

1van · 12-02-2023, 12:14 PM

Sucuri kaže isto: https://sitecheck.sucuri.net/results/snp.org.rs

Filename: snp.org.rs_Sucuri_1.png Size: 289.67 KB 12-02-2023, 12:14 PM

**milos_rs** · 12-02-2023, 12:26 PM

Da, mene izredirektovao na gomilu nekih sajtova i na kraju ostao na nekom pornografskom...

Filename: signal-2023-12-02-132323_002.jpeg Size: 50.52 KB 12-02-2023, 12:25 PM

ali ne uspevam uvek da ga trigerujem, i nisam uspeo sa desktopa nego samo sa mobilnog, i neki prethodni put me redirektovao na kompletno drugačije sajtove

VincaSec · 12-02-2023, 12:27 PM

Pretrazio sam subdomen na urlquery sajtu i naleteo sam na nekoliko sajtova kod kojih je detekovan isti subdomen.
https://urlquery.net/search?q=four.start...utions.com

Filename: Capture6.JPG Size: 85.54 KB 12-02-2023, 12:08 PM

Preko browserling.com sam proverio subdomen koji sadrzi JavaScript fajl.

Filename: browserling-screenshot.png Size: 1.51 MB 12-02-2023, 12:14 PM

**milos_rs**

ovo je "šifrovano" sa https://obfuscator.io/

ima i deobfuscator https://obf-io.deobfuscate.io/

rezultat:

Filename: Screenshot 2023-12-02 at 13-42-27 Obfuscator.io Deobfuscator.png Size: 90.74 KB 12-02-2023, 12:42 PM

VincaSec · 12-02-2023, 01:02 PM

To kada je uklonjen dead code

Login
Username/Email:
Password:	Lost Password?
	Remember me