Фишеры icloud и где они обитают. Часть 1
Life-Hack [Жизнь-Взлом]/ХакингИстория больше похожа на комикс, так как содержит более 50 изображений, поэтому аккуратнее, если ты с мобильного. Эта история пока не имеет конца, но у нее есть начало…
А начинается она с 2017 года, когда канал «Информация опасносте» выложил следующего содержания пост:
Мне стало любопытно, что это за фейк такой? Что за движок, как работает и насколько продвинуты фишеры (ну мало ли, может опять php скрипт на бесплатном/дешевом vps, как в 1732 году)?
Оказалось, что правда: разбросанные php скрипты, админка, шаблоны фейков.
Изучив данный хост, уязвимости привели меня к получению админки, а потом и к выполнению произвольного кода. Как следствие — я получил доступ к базе данных, логам и конечно же к исходникам. Ах да, я занимаюсь информационной безопасностью (пентесты и все такое).
Как оказалось, это дало толчок к исследованию нескольких десятков таких же ресурсов и породило рассказ, который ты сейчас читаешь.
Что происходит? У жертвы воруют телефон. Если Android, то чаще всего его сразу можно продать, как самостоятельный: вытащил симку, рутанул, и уже на авито. Но есть свои нюансы: типа пароль на вход, заблокирован загрузчик — но это совсем другая история.
А вот с айфонами уже намного сложнее, так как пароль на включение — это наиболее частое условие. А еще владелец может заблокировать устройство, оставив контактный номер. Мол, потерял, просьба вернуть за вознаграждение. Взять и прошить его не выйдет, поэтому либо на запчасти (стоимость айфона тогда теряется в несколько раз), либо страдать.
Однако, с развитием технологий защиты всегда развивается мошенничество, поэтому выход у воров был таков — отправить фишинг на контактный номер жертвы. А что? Удобно. Жертва свои контакты оставляет сама, тебе остается лишь представиться компанией Apple и заставить ввести пользователя данные от icloud.
Несмотря на то, что популярность такого фишинга выросла в 2017 году, один из первых скриншотов подобного сервиса был сделан еще в 2015 году.
Сначала слали на красивые домены вида lcloud.com (не путать с icloud), но когда поняли, что их закрывают, стали поступать проще. На красивых доменах располагают сервисы-редиректоры, которые делают короткую ссылку. Такие закрыть труднее — они же ничего противозаконного не размещали. Просто сервис коротких ссылок с именем мимикрирующим под apple или icloud.
Пройдя по ней, ты увидишь адаптивную форму аутентификации, которая грузится даже быстрее чем icloud.com. А может быть и сразу саму карту, дабы разогреть твой интерес, с дальнейшим запросом аутентификации.
Вот только не говори, что именно ты такой умный, и не повелся бы на подобное. Когда ты теряешь дорогую вещь, а потом есть шанс того, что она нашлась – ты в состоянии шока можешь сотворить глупость. Но тут и как с доменом повезет: может быть глаз зацепится за подозрительное место, а может быть будет неотличим от оригинала, например, как делал этот чувак с помощью Punycode.
«Двухфакторная аутентификация», — скажешь ты. Ну да, только фишеры давно научились показывать и форму ввода двухфакторки (подумаешь, еще один php скрипт).
Что делают после того как получают доступ к icloud? В лучшем случае — отвязывают телефон. В худшем — блокируют все остальные устройства Apple (ибо ты также можешь где-то оставить ноутбук, поэтому эта фича присутствует). Только в этой ситуации вы меняетесь сторонами, на твоем любимом ноуте с огрызком появится надпись мошенника и контакты для разблокировки. А там уже как договоритесь 🙂
Кстати, у одного из сотрудников Kaspersky Lab именно таким способом “отжали” телефон. Статья-история, как это происходит от лица жертвы. Но если вы все-таки не повелись на фишинг — вас продолжат социалить через звонок. Но об этом позже.
Интернациональный SaaS для воров
Итак, что же это за гадость такая.
На самом деле существует множество систем, один запилил на движке Laravel, другие — это группа AppleKit, MagicApp, Phantom, Phoenix, iPanel Pro и более примитивные поделки. Все они обколются своей марихуаной и форкают друг-друга, соревнуясь у кого лучше логотип. А самое забавное, что наследуя чужой код, они наследуют чужие уязвимости и бэкдоры.
На всякий случай, заботясь о том, что найденные баги могут прочитать в статье и зафиксить, примеров я приводить не буду. Есть подозрения, что создатели как минимум панели Phoenix точно понимают по-русски.
Но как бонус — выложу исходный код. Исходники у авторов и так есть! А баги (и бэкдоры) ты и сам увидишь.
Как-то чуваки смекнули, что воры сами-то не шарят в IT, поэтому поднять фейк, разослать СМС — непосильная задача. А так как все дороги ведут к мастеру по телефонам (кому еще продавать запчасти?), он может и своим клиентам помочь разблокировать мобилку или купив по-дешевке ворованный iPhone поднять его в цене, немного поработав над ним.
Зарабатывают на этом все. Аренда сервиса стоит $150–350 (в месяц), тебе дают инструкцию по установке, ты покупаешь домен, вбиваешь заказы, а остальное система сделает сама. Дальше по $100–150 ты продаешь эту “разблокировку”.
На западе большей популярностью пользуется iPanel, в странах СНГ — Phoenix.
Как это выглядит со стороны админа фишинга:
Админ может крутить настройки, например, отправку письма после успешной отвязки или оповещение в Telegram (куда же без него) и всякое такое по-мелочи.
Добавляя заказ, нужно указать какой телефон и IMEI. Также, он может написать заметку, от кого поступил заказ.
Часто можно увидеть что-то вроде Жэка Вазап или Коля Лысый, что несколько забавляет. Как ты понимаешь, физическое наличие телефона вовсе не нужно, поэтому услуга продвигается в интернете, а работать с этим можно удаленно.
Язык SMS система поставит сама.
Также можно выбрать тип дизайна фишинга, например, из таких вариантов:
Все достаточно адаптивно и хорошо смотрится и на телефонах, и на десктопе. Иногда количество и тип страничек различается, но не значительно.
Вход в админку у всех разный. Но это обманчивое ощущение, так как в большинстве своем это форки Phoenix или iPanel Pro, а интерфейс внутри одинаковый, разве что меняются логотипы и, иногда, цвета.
Бэкдоры
А я говорил, что они оставляют бэкдоры? А, ну да…
iPanel вообще забавный! Зацени.
У iPanel есть автоматическая установка. Так как система предназначена для установки на хостинги с контрольной панелью (типа cpanel), нужно указать логопас для нее. А при установке у тебя будет дефолтный пароль на СУБД: ipanel@789
Если отправить в качестве логина или пароля ссылку и слушать порт, то мы увидим, как к нам стучится
23 Jan [14:35:48] from 149.154.161.4 HTTP: / [] (TelegramBot (like TwitterBot)) euConsent=true; BCPermissionLevel=PERSONAL; BC_GDPR=11111; fhCookieConsent=true; gdpr-source=GB; gdpr_consent=YES; beget=begetok
Это говорит о том, что логин и пароль улетел кому-то в телегам. Зато удобно!
Еще одним доказательством наличия бэкдоров могут послужить логи, которые оставляют за собой след из ошибок:
Давайте посмотрим, что там у нас. Функции ereg_replace и eval? Батенька, да у вас RCE (но это не точно)!
А почему никто не видит? Код обфусцирован с помощью ioncube. А у панели есть проверка лицензии, не заплатил — сори чувак. Получается, хозяин панели раздает всем свой обфусцированный код, они стучат ему на сервер (ph-phoenix.com в случае феникса), а он может туда заламываться в любое время. Ну и наглость )
Но я не растерялся ️️️ и частично раскукожил код (целых 10 баксов потратил).
Исходники были слиты, был сделан дамп базы данных. Но все это забылось на несколько лет.
Продолжение следует…