UN TIPO AFORTUNADO 
“RETIRE SU PREMIO”, fue el asunto un mail que me llegó a mi cuenta de gmail.
Me siento todo un afortunado; Entre los vehículos que al menos una vez por mes me avisan por sms que gano y que aun no fui a buscar, no tengo lugar para tanto coche entre otras fortunas XD Ahora me vengo a enterar que me gane un producto a elección de la línea APPLE (iPhone 5, iPad, o iMac )y según dice el mail, su sistema fue quien me seleccionó ganador de forma aleatoria de entre 50.000 usuarios. y estoy a un click de distancia de obtener mi premio.
Me detuve a pensar un poco y empecé a desconfiar. Por lo que me puse a indagar sobre el mail, en cuestión.
LAS PRUEBAS:
El mail, aparentemente fue enviado desde la cuenta de email; “[email protected]”.
Mirando el cuerpo del mail, me encuentro que es una gran imagen que me linkeaba a:
http://mt.ar.trabajar.com/t?t=c.35.u.46038&u=aHR0cDovL3BjcC50cmFiYWphci5jb20vdGMvdjFhZGFhYWFlP2Q9YUhSMGNEb3ZMM2QzZHk1aFluSmhjM1Z6YjNKd2NtVnpZUzVqYjIwdmQybHVaMkZ0WlhNdmFXNWtaWGd1Y0dod1AzQnJYMk5oYlhCaGJtbGhQVTFVWjNoTmFtc2xNMFJyT1hnbWNHRnlkRzVsY2w5d1lYSmhiVDFiY0dGeWRHNWxja2xFWFElM0QlM0Q%3D
EL LINK; Una parte esta encondeado en BASE64. (Que de seguro es donde se encuentra la parte oscura de todo este asunto!)
Usando cualquiera de los miles de decodificadores que existen online pude ver que se encontraba detrás esos sospechosos caracteres -_- . En mi caso me incline por el sitio; http://www.base64decode.org/ para decodificar la linea
ENCODEADO EN BASE64; aHR0cDovL3BjcC50cmFiYWphci5jb20vdGMvdjFhZGFhYWFlP2Q9YUhSMGNEb3ZMM2QzZHk1aFluSmhjM1Z6YjNKd2NtVnpZUzVqYjIwdmQybHVaMkZ0WlhNdmFXNWtaWGd1Y0dod1AzQnJYMk5oYlhCaGJtbGhQVTFVWjNoTmFtc2xNMFJyT1hnbWNHRnlkRzVsY2w5d1lYSmhiVDFiY0dGeWRHNWxja2xFWFElM0QlM0Q
Todo esto es equivalente a:
http://pcp.trabajar.com/tc/v1adaaaae?d=aHR0cDovL3d3dy5hYnJhc3Vzb3JwcmVzYS5jb20vd2luZ2FtZXMvaW5kZXgucGhwP3BrX2NhbXBhbmlhPU1UZ3hNamslM0RrOXgmcGFydG5lcl9wYXJhbT1bcGFydG5lcklEXQ%3D%3D
me dio como resultado una web, y una una parte de su URL encodeada tmb en BASE64. El mismo procedimiento que antes y:
aHR0cDovL3d3dy5hYnJhc3Vzb3JwcmVzYS5jb20vd2luZ2FtZXMvaW5kZXgucGhwP3BrX2NhbXBhbmlhPU1UZ3hNamslM0RrOXgmcGFydG5lcl9wYXJhbT1bcGFydG5lcklEXQ
Es igual a:
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=MTgxMjk%3Dk9x&partner_param=[partnerID]
lo que sin los caracteres UNICODE, es igual, a:
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=MTgxMjk=k9x&partner_param=[partnerID]
Me encuentro otra parte en la URL encodeada en B64; “MTgxMjk” que es igual, a: “18129”
llego a esta Url
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=18129=k9x&partner_param=[partnerID]
(Por seguridad, corrí en link, en un entorno virtualizado ) le doy click y me redirige a esta URL, (“final”):
http://www.abrasusorpresa.com/wingames/apple_ar/index.php
Doy por sentado que la empresa “TRABAJAR.COM”, nada tiene que ver con todo esto. Alguien a combinado dos técnicas para facilitar que los usuarios de correo le den al click a este spam.
Por un lado han logrado saltearse los filtros SPF de Gmail para hacerme llegar un mail spoofeado a mi cuenta con dominio “TRABAJAR.COM” y tambien aprobechandose del sitio para camuflar sus redirecciones.
Incluso sospecho que seria facil explotar algún XSS (por si no lo han hecho )
En el próximo post, voy a profundizar en todo esto y ver hasta donde termina el asunto mail y el link que lleva asociado
Corto aca! no quiero hacer mas largo el post.
Bytes !
“RETIRE SU PREMIO”, fue el asunto un mail que me llegó a mi cuenta de gmail.
Me siento todo un afortunado; Entre los vehículos que al menos una vez por mes me avisan por sms que gano y que aun no fui a buscar, no tengo lugar para tanto coche entre otras fortunas XD Ahora me vengo a enterar que me gane un producto a elección de la línea APPLE (iPhone 5, iPad, o iMac )y según dice el mail, su sistema fue quien me seleccionó ganador de forma aleatoria de entre 50.000 usuarios. y estoy a un click de distancia de obtener mi premio.
Me detuve a pensar un poco y empecé a desconfiar. Por lo que me puse a indagar sobre el mail, en cuestión.
LAS PRUEBAS:
El mail, aparentemente fue enviado desde la cuenta de email; “[email protected]”.
Mirando el cuerpo del mail, me encuentro que es una gran imagen que me linkeaba a:
http://mt.ar.trabajar.com/t?t=c.35.u.46038&u=aHR0cDovL3BjcC50cmFiYWphci5jb20vdGMvdjFhZGFhYWFlP2Q9YUhSMGNEb3ZMM2QzZHk1aFluSmhjM1Z6YjNKd2NtVnpZUzVqYjIwdmQybHVaMkZ0WlhNdmFXNWtaWGd1Y0dod1AzQnJYMk5oYlhCaGJtbGhQVTFVWjNoTmFtc2xNMFJyT1hnbWNHRnlkRzVsY2w5d1lYSmhiVDFiY0dGeWRHNWxja2xFWFElM0QlM0Q%3D
EL LINK; Una parte esta encondeado en BASE64. (Que de seguro es donde se encuentra la parte oscura de todo este asunto!)
Usando cualquiera de los miles de decodificadores que existen online pude ver que se encontraba detrás esos sospechosos caracteres -_- . En mi caso me incline por el sitio; http://www.base64decode.org/ para decodificar la linea
ENCODEADO EN BASE64; aHR0cDovL3BjcC50cmFiYWphci5jb20vdGMvdjFhZGFhYWFlP2Q9YUhSMGNEb3ZMM2QzZHk1aFluSmhjM1Z6YjNKd2NtVnpZUzVqYjIwdmQybHVaMkZ0WlhNdmFXNWtaWGd1Y0dod1AzQnJYMk5oYlhCaGJtbGhQVTFVWjNoTmFtc2xNMFJyT1hnbWNHRnlkRzVsY2w5d1lYSmhiVDFiY0dGeWRHNWxja2xFWFElM0QlM0Q
Todo esto es equivalente a:
http://pcp.trabajar.com/tc/v1adaaaae?d=aHR0cDovL3d3dy5hYnJhc3Vzb3JwcmVzYS5jb20vd2luZ2FtZXMvaW5kZXgucGhwP3BrX2NhbXBhbmlhPU1UZ3hNamslM0RrOXgmcGFydG5lcl9wYXJhbT1bcGFydG5lcklEXQ%3D%3D
me dio como resultado una web, y una una parte de su URL encodeada tmb en BASE64. El mismo procedimiento que antes y:
aHR0cDovL3d3dy5hYnJhc3Vzb3JwcmVzYS5jb20vd2luZ2FtZXMvaW5kZXgucGhwP3BrX2NhbXBhbmlhPU1UZ3hNamslM0RrOXgmcGFydG5lcl9wYXJhbT1bcGFydG5lcklEXQ
Es igual a:
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=MTgxMjk%3Dk9x&partner_param=[partnerID]
lo que sin los caracteres UNICODE, es igual, a:
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=MTgxMjk=k9x&partner_param=[partnerID]
Me encuentro otra parte en la URL encodeada en B64; “MTgxMjk” que es igual, a: “18129”
llego a esta Url
http://www.abrasusorpresa.com/wingames/index.php?pk_campania=18129=k9x&partner_param=[partnerID]
(Por seguridad, corrí en link, en un entorno virtualizado ) le doy click y me redirige a esta URL, (“final”):
http://www.abrasusorpresa.com/wingames/apple_ar/index.php
Doy por sentado que la empresa “TRABAJAR.COM”, nada tiene que ver con todo esto. Alguien a combinado dos técnicas para facilitar que los usuarios de correo le den al click a este spam.
Por un lado han logrado saltearse los filtros SPF de Gmail para hacerme llegar un mail spoofeado a mi cuenta con dominio “TRABAJAR.COM” y tambien aprobechandose del sitio para camuflar sus redirecciones.
Incluso sospecho que seria facil explotar algún XSS (por si no lo han hecho )
En el próximo post, voy a profundizar en todo esto y ver hasta donde termina el asunto mail y el link que lleva asociado
Corto aca! no quiero hacer mas largo el post.
Bytes !