最近QQ总是收到类似给你的一段,链接点进去查看我艹好熟悉的界面,这不是当年emmm哈哈哈
传播链接
首先观察这个链接,是经过腾讯微博长连接转码形成的一个传播链接,当进入链接后跳转到凤凰图片站的一个页面
跳转后的凤凰链接
进入链接内容
很明显这肯定是个钓鱼,经过了浏览器识别的,只可以在QQ内部浏览器进行打开,其他浏览器打开跳转到官方页面,从而来混淆视听,来混乱分析者的视听,好吧戏很组,
果断伪装QQ内置进入
不会的可以看下以前的文章,参考伪装,https://www.jianshu.com/p/0407b93668ba
这是电脑成功访问这段钓鱼,
握草乱码好严重,仔细一看png格式再重返图片站看,基本断定这张被植入html的png代码是通过凤凰新闻自媒体传入的,又通过转换把格式转换为htm的,重点在下面的html代码,(由于仅供学习我给他打码了),这段html完全忽略上层乱码这段乱码是某个png图像的编码,分析下面html首先他进行了反跳,将真实地址反写回传到凤凰图片站,
当点击第二个,xxxxxxx.php?t=json的时候我们发现
又是一段转码url转码,握草葫芦里装的什么逼,解码后发现
真实ht钓鱼
解码后是真实钓鱼前段代码,深度分析发现这个钓鱼用的技术很精巧,真是心思细腻,手法高明。
1.首先通过QQ自带sdk对QQui进行屏蔽,也就是图一我所标注的,对右上角举报链接进行屏蔽对左上角返回返回空指令,给用户一种QQ卡死的感觉,只能输入密码才能退出,
2.采用js虚拟键盘进行输入有效解决QQ内置浏览器的防盗号提醒,完全无提示成功过掉所有腾讯安全提醒
进入重点zept.min.js发现握草重点虚拟键盘又是一段rsa加密握草,还能不能好好让人学习了,
rsa加密js代码
通过一宿的研究解密结果出来了
rsa解密结果
简单看这是三段提示文本,忽略不计没价值,
中间是这个作者写的虚拟键盘代码,底部代码是对用户随意输入账号密码进行了屏蔽,看这一串输入大概就知道了,很特么符合密码学,高手,非专业且经验不足绝没有这么良好的思路
这次传播力度很大,鄙人集中大号几乎每天都会收到,才对其进行的分析,希望对大家有帮助,虚拟键盘写的不错,可以尝试移植使用,所有抓到代码我都放在了 github,解密方法也在代码内,有兴趣的可以看看,
网友评论