Thằng em xã hội mới bị hack acc …

Jang
Jang
Nov 1 · 5 min read

Chuyện là hồi chiều nay, trong group discord của 1 số người ae xã hội có 1 thanh niên kêu khóc là mới bị thằng cờ hó kia lừa mất acc LOL,

Ban đầu thì mình vs mấy ae cũng tưởng là nó đùa vu vơ, vì ai nấy đều nghĩ group này đều là dân từng trải ròi … Chém ku em được mấy câu thì mới vỡ ra là nó bị phishing thật =))).

Đối với những người làm về ATTT thì phishing ko còn là khái niệm gì mới mẻ và xa lạ nữa, được dạy rất nhiều trong trường lớp ròi báo chí này nọ … Thậm chí loanh quanh vài group cũng có thể nhặt được mấy cmt spam link sex trá hình, mà khi người dùng click vào sẽ ra trang phishing, giả mạo facebook. Những người ko biết thì chắc chắn sẽ tự động nhập tài khoản & mật khẩu và biếu không cho chúng nó!

Riêng với những ai chơi LOL thì lại càng biết thừa mấy trò này!

Nick LOL của mình, chả hiểu sao, dù ko add friend với ai xa lạ cả mà cũng tự hiện lên 1 đống nick lạ trong list friend, tên đều có dạng tựa như: “Hệ thống thông báo”, …

Liếc qua thì cũng biết thừa mấy cái trò này, “chúng mày định lừa bố mày ak …”

Thường thì những nick đó sẽ spam tin nhắn tới người dùng của Garena, tin nhắn có nội dung rất là mời gọi người dùng truy cập và đăng nhập vào link của thằng tricker kia. (*mình sẽ gọi chung bọn này là tricker, gọi là hacker thì sỉ nhục quá!..).

Trò này đã có, và thậm chí là từ rất lâu rồi, nhưng ko hiểu sao Garena không chịu làm gì để ngăn chặn nó, và số người bị mất acc vẫn cứ tăng lên đều đều.

Trường hợp của thằng em xã hội này có chút đặc biệt hơn,

:v Mình ko ngờ là giới phishing giờ đã xịn xò như này.

Tiến hành tiếp cận, social engineering nạn nhân 1 thời gian, sau đó mới bắt đầu phishing để ăn cắp acc.

Ak quên, đây là trang web mà bọn chúng sử dụng để phishing hxxp://giaidau.vcsa.vn/

Vào thời điểm mình viết blog này thì nó đang được trỏ về ip: 103.255.237.248, có lẽ đơn vị chủ quản là 123host.vn.

Thông tin whois domain:

(dns lại trỏ về tenten ??!)

Check loanh quanh info của con server trên thì mình có phát hiện ra thêm hiện đang có rất nhiều con web phishing tương tự với domain khác nhau nằm trên server này ( https://www.cutestat.com/hosted-ip/103.255.237.248)

Hiện tại mấy cái web này còn hoạt động hay ko thì mình ko rõ.

Quay lại với con web chính kia: giaidau.vcsa.vn <=

Trước mình vẫn nhầm tưởng chuyện mua được domain .vn là khó lắm, và các trang web sử dụng domain .vn đều bị quản lý chặt chẽ về mặt nội dung cũng như các chức năng của nó.

Đến giờ mới vỡ ra, ¯\_(ツ)_/¯ chỉ cần ném cục tiền vào là mua được hết, chả có cmg khó cả …

Truy cập trang web này thì có giao diện rất giống với style của lienminh, (tại thời điểm của bài viết thì trang chủ đã ko cánh mà bay nên mình phải chạy lại code của nó để minh họa!)

cũng có trang đăng nhập đàng hoàng

Khi login, page sẽ gởi 1 request ajax tới request.php để thực hiện check và log lại thông tin người dùng, đoạn code xử lý của request.php như sau:

Chức năng của đoạn code là check xem có login được hay ko bằng cách gởi request tới http://gcms2.garena.com/login/ và sau đó insert vào database!

Web gcms2 của garena:

Mình ko biết là vô tình hay cố ý, trang web này có thể login được vô số lần mà ko hề bị dính captcha hay ban ip gì cả. Tự dưng Garena lại tiếp tay cho mấy thằng phishing lộng hành ¯\_(ツ)_/¯.

Ak quên, show code mà chưa show tại sao lại có code =))).

Theo bản năng của 1 pentester thì mình sẽ đưa con web giaidau.vcsa vào nồi luộc trước đã, làm gì thêm thì tính sau… bật acunetix lên và ném vào thôi…

Và acunetix chưa bao giờ làm mình thất vọng =))).

Backup file được tìm thấy tại: hxxp://giaidau.vcsa.vn/css.zip

Có nguyên đống source của web, bonus cả db luôn =)))

Nhìn thoáng qua code thì mình ko thấy chỗ nào có thể RCE hay up file gì cả, chỉ sơ sơ là vài cái sql injection:

File QWE.php là file để admin vào xem list acc đã ăn cắp được:

Với password là “vudeptrai2321” (chắc thằng admin tên Vũ :thinking:)

Lượn qua qua thêm vài vòng thì mình có thấy đây là 1 web trong cả cái hệ thống phishing + shop bán acc của bọn tricker này,

Làm gì thêm bây giờ được, ¯\_(ツ)_/¯ chả lẽ báo Conan, mà mình có báo thì chưa chắc các bác conan đã tiếp nhận xử lý ngay.

Thôi thì đành showoff tí xả stress cuối tuần …

Hy vọng bạn nào đó có làm bên 123host or tenten có thể ban cái domain & host này để ngăn chặn nạn phishing!

Cảm ơn các bạn đã theo dõi tới đây!

__Jang__

nightst0rm

NightSt0rm is a group of IT security researchers, enthusiasts , who share the same interests. We are focusing on Hacking, Cryptography, Malware analyst & Computer forensics.

Jang

Written by

Jang

nightst0rm

NightSt0rm is a group of IT security researchers, enthusiasts , who share the same interests. We are focusing on Hacking, Cryptography, Malware analyst & Computer forensics.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade