Egyik bejegyzésemben arról panaszkodtam, hogy nem látni szofisztikált jelszólopó módszereket, mindegyikről messziről virít, hogy átverés. Ahogy mondani szokás: vigyázz, mit kívánsz, mert teljesül. Nekem most teljesült egy kívánságom, kaptam egy egész jó adathalász levelet. Boncolgassuk is!
A levél egy létező e-mail címről jött, nem kamuról. A fejléc szerint valami cikket kellett volna átnéznem. Még ez is hihető volt. Az már kevésbé tűnt realisztikusnak, hogy egy magyar egyetem, magyar dolgozója angol nyelven ír nekem, ebből tudtam, hogy biztosan átverés. A másik hiba, amit elkövettek, hogy a levél törzsében már nem cikkről volt szó, hanem számláról.
A mellékletben volt egy PDF. Először attól tartottam, hogy a PDF JavaScript-et tartalmaz, ezért nem nyitottam meg, hanem a pdfinfo nevű programmal ellenőriztem.
Mint látható, nincs benne sem JavaScript, sem titkosított rész. Ettől függetlenül nem mertem megnyitni a gépemen, hanem egy virtuális gépben tettem. Csak egy oldal volt, egy linkkel.
Mivel a link egy dokumentumban szerepelt, a spam filteren átment. A link egy google forms-ra vezetett, ami szénné volt JavaScriptezve, esélyem sem volt megtudni, mit is kódolnak, úgyhogy a virtuális gépen megnyitottam. A google forms azért volt jó ötlet, mert nehéz kiszűrni az IT-nak. Mégsem tilthatják ki a guglit az egyetemről, nem?
De ezen kívül volt még egy réteg, mert ez az oldal csak arról akart meggyőzni, hogy le kell töltenem egy újabb dokumentumot.
A link egy másik oldalra vezetett, ahol a létező legtökéletesebb Microsoft Online bejelentkezést kaptam, ami csak létezik. Szinte hihetetlennek tűnt, hogy ilyen tökéletesen le tudták másolni. Még az oldal betöltését mutató animáció is hibátlan volt. Mint később ti is látni fogjátok, ez egy valódi Microsoft-os bejelentkező képernyő, nem utánzat.
Ez úgy derült ki számomra, hogy első blikkre meg akartam nézni az oldal forráskódját, és nem sikerült! Rutinból a billentyű kombinációt nyomtam meg, ami le volt tiltva, jobb egérgomb szintén. Ez már jelezte, hogy nem csak simán betölti a bejelentkező képernyőt, hanem valami mást is csinál, és ez a másik funkció rejtőzködik.
A böngésző menüjét viszont nem tudták blokkolni, így azon keresztül megláttam a forráskódot is.
A JavaScript figyelte, hogy esetleg Burp Suit-ot használok-e, és ha igen, akkor nem jeleníti meg az oldalt. Figyeli, milyen billentyűket nyomok le, és elküldi azt a támadóknak. Mindebből a felhasználó nem vesz észre semmit. Tényleg nagyon gyönyörű munka. Szokatlan volt, hogy nem obfuszkálták teljesen a kódot. Általában a támadók teljesen olvashatatlanná teszik a kódot, hogy ezzel is nehezítsék a felderítést.
Azért némi rejtegetés itt is volt. Egy viszonylag bonyolult módszerrel ellenőrizték, hogy honnan nyitották meg az oldalt. A reguláris kifejezést, amivel az ellenőrzést végezték, Base64-el kódolták, a dekódoló függvény nevét pedig elrejtették. Elképzelni sem tudom, mi szükség volt erre, miközben a letölthető JavaScript modulok URL-je szabadon olvasható. Az egész kód olyan, mintha valaki gyakorló feladatát látnám.
