Взял на заметку киберприступников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Такое бывает. Сидишь и пытаешься читать книжку, необходимую для того, чтобы начать, наконец, писать магистерскую диссертацию. Полная концентрация. И тут приходит СМС с предложением обменяться с доплатой, а детали предложено узнать, перейдя по ссылке mms24(тчк)net/t. Это ли не наглость? На Avito активных объявлений нет, но ноги точно растут оттуда.

Ладно, уговорили. Посмотрим, на что же предлагают поменяться. Завожу ВМ с Kali, вбиваю адрес — редирект на Google. Умно, но не очень. Меняю юзер-агент и притворяюсь смартфоном Nexus 5. Оказывается, у меня Tele2 и мне пришло ММС-сообщение! От радости трясутся колени, уж больно я люблю получать ММС.

tele2

Кнопка «Просмотреть» запускает загрузку APK-файла с банковским трояном (как я позже узнаю, немного погуглив). При этом в адресной в строке уже mms23(тчк)com/foto0. Быстренько вручную перебираю варианты: foto, foto1, foto2. Ведут на пару APK с разными названиями. Скачиваю, ведь когда-то надо будет попрактиковаться в ревёрсинге андроид-приложения — будет в запасе настоящий кусок вредоноса для изучения.

Возвращаюсь к хосту mms24(тчк)net, пробую /admin/ и без удивления попадаю на окна входа в Keitaro TDS.

tds-admin

Traffic Distribution System. Теперь понятно, что отвечает за перенаправление запросов в Google или на страницу с радостной вестью о приходе ММС. Затаив хрупкую надежду, что активны какие-нибудь примитивные дефолтные логин и пароль, ввожу несколько комбинаций — ничего, а жаль.

Заряжаю Dirbuster и нахожу, разве что, ещё пару редиректов. На обновление прошивки Nexus да на обмен фотками для Avito (так и знал!). Страница с апдейтом для Nexus даже содержит подробную инструкцию о том, как выстрелить себе в ногу.

update-phishing

Сканирую nmap’ом хост mms24(тчк)net: ssh, http, rpcbind. Один раз, совсем ненадолго, появлялся remote shell на 514-м порту. А есть ещё хосты с адресами mms23(тчк)com и mms09(тчк)com. Наверняка, их намного больше. Проверяю — все IP-адреса разные и принадлежат диапазону 185.130.4.0/24. Целый диапазон занят фишинговыми сайтами, кишащими банковскими троянами для Android.

Не, так не пойдёт — вас много, а я один. И мне нужно писать диссертацию. Записываю диапазон в блокнот и возвращаюсь к более важным делам. Может быть, в другой раз.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *