这篇文章由“潇湘信安技术交流群”@嘞萌师傅投稿,@3h整理发布,记录的是他在无意中发现的一个新型钓鱼诈骗方式,从技术层面简单分析了下。
目前微信官方已对这类诈骗链接进行了屏蔽处理,而且“武定警方”官方公众号同时也发布了针对此类诈骗手段的揭秘文章,大家可以去看一下。
警惕!武定公安民警潜入“骗子群”为您揭秘:“免费领取微波炉”是诈骗!别再转了
0x01 前言
0x02 分析过程
右上角查看链接时发现猫腻,并不是小米官方域名,而是某些G0V域名,找了几个案例都是G0V域名。
https://*****.qinghai.gov.cn/uploadfile/2022/0905/20220905130919799.xml http://****.jl.gov.cn/u/cms/swcx/202209/08092103g0xe.html?Q3yw=
恶意JS链接会识别你的平台是Windows还是Mac,如果都不是将会跳转到一个新的链接。
http://fanyi.youdao.com/server/webtrans/share?fileID=e01bceae5c8d439fbf192749774a83ee&salt=1662522510039&product=fanyiguan&entid=dfjrj&njmtnb=bc2209b4b19c99f2f00e817513a9e989
但是这里进不去相关页面,因为有道翻译的第三方服务是直接解析的诈骗网页源码,里边还会判断平台,也会根据以下网址获取到的IP判断地区。
https://only-72244-222-188-46-25.nstool.netease.com/info.js
https://c.liink.cn/code.php?dir=KF 这个链接中有这样一段代码,看着像是经过反转的QQ群链接,应该还需要拼接下,没有再去验证了,有兴趣的可以看下。
{"data":{"url":"f3MfNeyQZTGfscQm1PYMVjgplw=k?rq/mq/nib-igc/moc.qq.mq//:sptthiICgjMpypNlmpOuo1iDGm8BYih131Sn1H8ReD77o=yeKhtua&DBrenz0=ecruos_edocrq_lanosrep&0=yfirevon&LY2WPSPhh4tou5yyXcCemJPT"},"code":0}
本文作者:潇湘信安
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/188641.html