jueves, 4 de junio de 2015

Asunto: RETIRE SU PREMIO

UN TIPO AFORTUNADO


RETIRE SU PREMIO”, fue el asunto un mail que me llegó a mi cuenta de Gmail hace algún tiempo.

Hoy me siento realmente todo un afortunado; Valla a saber por que suerte del destino(o lo que sea) al menos una vez por mes recibo algún SMS en donde me notifican que he ganado algún vehículo y por falta de tiempo aun no los he pasado a buscar, ademas de que entre tantas fortunas no cuento con lugar suficiente para todos estos vehículos.

Ahora en suma me vengo a enterar que gane un producto a elección de la línea APPLE (iPhone 5, iPad, o iMac )y según dice el mail, su sistema fue quien me seleccionó ganador de forma aleatoria de entre 50.000 usuarios. y estoy a un click de distancia de obtener mi premio.

1.png


Me detuve a pensar un poco y empecé a desconfiar. Por lo que me puse a indagar sobre el mail, en cuestión.


LAS PRUEBAS:
2.png
El mail, aparentemente fue enviado desde la cuenta de email; “trabajar@trabajar.com”.



Mirando el cuerpo del mail, me encuentro que es una gran imagen que me linkea a:

http://mt.ar.trabajar.com/t?t=c.35.u.46038&u=aHR0cDovL3BjcC50cmFiYWphci5jb20vdGMvdjFhZGFhYWFlP2Q9YUhSMGNEb3ZMM2QzZHk1aFluSmhjM1Z6YjNKd2NtVnpZUzVqYjIwdmQybHVaMkZ0WlhNdmFXNWtaWGd1Y0dod1AzQnJYMk5oYlhCaGJtbGhQVTFVWjNoTmFtc2xNMFJyT1hnbWNHRnlkRzVsY2w5d1lYSmhiVDFiY0dGeWRHNWxja2xFWFElM0QlM0Q%3D
EL LINK; 
Una parte estaba encondeada en BASE64. (Que de seguro es donde se encuentra la parte oscura de todo este asunto!)

Usando cualquiera de los miles de decodificadores que existen online pude ver que se encontraba detrás esos sospechosos caracteres -_- . En mi caso me incline por el sitio; http://www.base64decode.org/ para decodificar la linea

ENCODEADO EN BASE64; aHR0cDovL3BjcC50cmFiYWphci5jb20vdGMvdjFhZGFhYWFlP2Q9YUhSMGNEb3ZMM2QzZHk1aFluSmhjM1Z6YjNKd2NtVnpZUzVqYjIwdmQybHVaMkZ0WlhNdmFXNWtaWGd1Y0dod1AzQnJYMk5oYlhCaGJtbGhQVTFVWjNoTmFtc2xNMFJyT1hnbWNHRnlkRzVsY2w5d1lYSmhiVDFiY0dGeWRHNWxja2xFWFElM0QlM0Q
Todo esto es equivalente a:
http://pcp.trabajar.com/tc/v1adaaaae?d=aHR0cDovL3d3dy5hYnJhc3Vzb3JwcmVzYS5jb20vd2luZ2FtZXMvaW5kZXgucGhwP3BrX2NhbXBhbmlhPU1UZ3hNamslM0RrOXgmcGFydG5lcl9wYXJhbT1bcGFydG5lcklEXQ%3D%3D

Me da como resultado una web, y una una parte de su URL encodeada tmb en BASE64. El mismo procedimiento que antes y:
aHR0cDovL3d3dy5hYnJhc3Vzb3JwcmVzYS5jb20vd2luZ2FtZXMvaW5kZXgucGhwP3BrX2NhbXBhbmlhPU1UZ3hNamslM0RrOXgmcGFydG5lcl9wYXJhbT1bcGFydG5lcklEXQ

Es igual a:
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=MTgxMjk%3Dk9x&partner_param=[partnerID]

lo que sin los caracteres UNICODE, es igual, a:
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=MTgxMjk=k9x&partner_param=[partnerID]

Me encuentro otra parte en la URL encodeada en B64; “MTgxMjk” que es igual, a: “18129”

llego a esta Url
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=18129=k9x&partner_param=[partnerID]

(Por seguridad, corrí en link, en un entorno virtualizado ) le doy click y me redirige a esta URL, (“final”):
http://www.abrasusorpresa.com/wingames/apple_ar/index.php



4.png


Finalizo el post dando por sentado que la empresa “TRABAJAR.COM”, nada tiene que ver con todo esto. Alguien ha combinado dos técnicas para facilitar que los usuarios de correo le den al click a este spam.


Por un lado han logrado saltearse los filtros SPF de Gmail para hacerme llegar un mail spoofeado a mi cuenta con dominio “TRABAJAR.COM” y tambien aprobechandose del sitio para camuflar sus redirecciones.
Incluso sospecho que resultaría facil explotar algún XSS (por si no lo han hecho )


Saludos,
@Capitan_Alfa

No hay comentarios.:

Publicar un comentario