Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Phishing : petite analyse d'un phishing Free pas mal fichu

C'est l'ami DS45 qui le signalait ce matin sur son blog. Un phishing vraiment bien fichu visant les abonnés de Free. Bien fichu oui car propre, pas de caractères russes ou chinois dans le code html, une orthographe plutôt correcte en comparaison de ce qu'on a l'habitude de voir (seul les accents manquent, ce qui évite les erreur d'encoding de caractères)... ensuite techniquement, ça vaut ce que ça vaut, mais ceci suffira certainement à piéger des centaines de freenautes. Jetons y un oeil.

C'est l'ami DS45 qui le signalait ce matin sur son blog. Un phishing vraiment bien fichu visant les abonnés de Free. Bien fichu oui car propre, pas de caractères russes ou chinois dans le code html, une orthographe plutôt correcte en comparaison de ce qu'on a l'habitude de voir (seul les accents manquent, ce qui évite les erreur d'encoding de caractères)... ensuite techniquement, ça vaut ce que ça vaut, mais ceci suffira certainement à piéger des centaines de freenautes. Jetons y un oeil.

Commençons par le screenshot de DS45 qui révèle les URL destinées à piéger les freenautes, notez que l'url originale de Free a été placée dans la balise alt :

La capture nous révèle que l'URL destinée à accueillir identifiants et mots de passe des freenautes abusés est http://secretplans.com/\* il s'agit simplement d'une installation d'OSCommerce le CMS de ecommerce, qui a été compromise. On peut la trouver ici : http://www.secretplants.com/catalog/. Le serveur semble d'origine américaine, il est hébergé chez Liquidnet.

On notera à l'oeil nu, sans aucune manipulation que la page falsifiée est un peu curieuse puisqu'elle propose de vous identifier et dans le même temps, on notera la présence d'un bouton de déconnexion :

Sur la page originale de Free, ci-dessous, on ce bouton de déconnexion n'existe évidemment pas

En examinant le source de la page de phishing, on trouve ce bout de code :

<script type="text/javascript" src="etap1_fichiers/jquery_002.js"></script>    <script type="text/javascript" src="etap1_fichiers/jquery.js"></script>    <script type="text/javascript" src="etap1_fichiers/general.js"></script>    <script type="text/javascript" src="etap1_fichiers/mon-compte.js"></script>

et plus loin celui ci :

<script type="text/javascript" language="javascript" src="etap1_fichiers/moncompte.js"></script><script type="text/javascript" src="etap1_fichiers/adserv.js"></script><noscript><img src="http://cstatic.weborama.fr/weborama/images/transp.gif" width="728" height="90" border="0" alt=""></noscript><script type="text/javascript" src="etap1_fichiers/aserv.htm"></script><noscript><img src="http://cstatic.weborama.fr/weborama/images/transp.gif" width="728" height="90" border="0" alt=""></noscript>

Ceci nous renseigne sur la présence de ce répertoire "etap1_fichiers"

Du coup, en nous rendant sur cette url :

http://www.secretplants.com/catalog/adsl.html/etap1_fichiers/

... on découvre naturellement le petits dessous de notre phisher

Allons un peu plus loin et rentrons des identifiants bidons, s'il y a un répertoire etape 1, c'est surement qu'il y a une étape 2... bingo, voici une page verify.php qui se propose d'aspirer votre identité complète, étae que Free ne proposera jamais lors d'une identification.

Examinons le code source de cette page, et découvrons ce répertoire peuplé de scripts : http://www.secretplants.com/catalog/adsl.html/free/ dans lequel on trouve également un petit flash nommé 04150040_roi-creas-02009-08-04exo728x90m119samsungultraplayer.swf dont le reverse ne donnera rien, c'est bien ce qu'il dit être à savoir une petite bannière publicitaires.

Allez soyons fous et remplissons les champs de la demande de vérification... Aaaaahh nous y voici enfin, on passe maintenant à la caisse, on nous demande maintenant nos informations bancaires :

A la fin de cette étape, vos informations bancaires sont maintenant entre les mains de notre phisher, et vous voila redirigé sur le site officiel de Free. Toute la logique permettant à notre phisher d'opérée se situe dans les javascripts. D'ailleurs, en examinant un peu le ga.js (pour Google Analytics) on voit assez clairement que ce script n'est pas vraiment ce qu'il prétend être, à savoir un petit bout de code destiné à extraire les statistiques de visites d'un site... celui çi est bien trop "riche en sucre" :

L'autre URL révélée par le screenshot de DS45 nous amène tout droit en Chine sur le site [http://www.jkswkj.com/](%EF%BB%BFhttp://www.jkswkj.com/ "jkswkj"), un site dédié semble t-il à Joomla, le CMS le mieux documenté du monde. L'url complète nous indique cependant que c'est Horde, un webmail, qui semble servir à distance les images du spam envoyés sur *@free.fr

En nous rendant sur l'url complète de DS45 : ici http://www.jkswkj.com/check/horde.imp.mailbox.phpmailbox=INBOX/secure/enligne/adsl.html/

Nous voilà redirigés sur un domaine brésilien contenant le même phishing pour les Freenautes

http://www.abasolucoes.com.br/check/horde.imp.mailbox.phpmailbox=INBOX/secure/enligne/adsl.html/login.php?free=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e5a7cc33fe1f74d52d6b79dee8bd8c2b45a7cc33fe1f74d52d6b79dee8bd8c2b4

Toutefois, le site http://www.abasolucoes.com.br&nbsp;lui aussi compromis est bien signalé comme un site de phishing, ce qui n'était pas le cas du premier.

Bref nous sommes en face d'un truc pas mal ficelé du tout, ça faisait un petit moment, plusieurs années, que je ne m'étais pas penché sur la pratique du phishing, il semble que tout ceci ait plutôt pas mal évolué techniquement et il est toujours intéressant de tenter de comprendre comment procèdent les phisher. Le "dispatch" présent dans les deux URL des sites compromis hébergeant les fichiers servant au phishing m'intrigue. Si quelqu'un sait à quoi ceci correspond je serais intéressé d'en savoir plus même, je subodore le toolkit assez élaboré.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée