چند روز پیش توی توییتر این توییت رو دیدم
https://twitter.com/ikamrany/status/1545011762457624578
نظرمو جلب کرد یه فیشینگ ساده بود که ۹۹٪ خودتون باهاش مواجه شدین و خب چند روز پیش
یکیشون رو دیدم.
خب هرکی یکم اشنا باشه میدونه gen_signed یعنی رت یا هرچیز مشابهی.
دادم یه ربات چک کنه ویروسه جهت اطمینان و نتیجه این شد که ویروسه.
خب خواستم ببینم چیکار کرده این هکر، برنامه رو دی کامپایل کردم با یه سایت و بهم یه فایل زیپ داد ، داخلش یه grep زدم و نتیجه جالب بود :
ادرس سایتش بود ، ولی چون .tk بود نرفتم سمت whois به جاش رفتم سراغ ایپی سرور تا ببینم از کجاست ؟
سایتش روی سرور های ای ار بست هاست بود و راحت میشه از ارايه دهنده اطلاعات خریدار رو گرفت و بقیه موارد قانونی ، اما. من اینجا بیخیال نشدم گفتم فایل توی کانال رو هم بیام همین کار بکنم و دیدم فایل ها متفاوته!!
سورس رو چک کردم و دیدم میبره درگاه پرداخت ملت (ملت نیست کلون شده بود ) ، خب نکته جالبش اینجاست.?
کپچا عوض میشد ، و چک میشد !
اگه واقعا کسی ادرس رو چک نکنه متوجه نمیشه که درگاه فیک هست یا واقعی .
توی عنوان هم گفتم با کمک اپ و الان رسیدیم به کمک اپ به فیشر ها :
دریافت رمز پویا به api های این نرم افزار متصل هست.
هیچ لایه امنیتی نداره و فقط به راحتی ارسال یه درخواست post با curl هست .
اگه متوجه نشدین یعنی اینکه فیشر وقتی روی دریافت رمز پویا میزنین داخل بک اند خودش به اپ درخواست میده برای رمز پویا و دیگه بقیه ماجرا ...
نمیدونم صدام به اپ میرسه یا نه ولی ممنون میشم این پست رو به اشتراک بزارین .
پوزش اگه بد نوشتم اولین پستم هست :)
پ .ن : سورس نرم افزار دوم روی یک ارايه دهنده دیگه بود ، که دیگه داخل پست ذکر نکردم
اگه کسی از دوستان داخل اپ هست اگه میتونه با من تماس بگیره .
