• XSS.stack #1 – первый литературный журнал от юзеров форума

Собираем инфу по ру-мошейникам/LiveРежим

Отслеживать
p4p4

p4p4

(L1) cache
Пользователь
Регистрация
04.04.2024
Сообщения
504
Реакции
276
photo_2024-07-12_14-19-28.jpg

Мошейники по ру начали акцию по распространению мобильного вредоноса, их сайт - https://mtsmessage.ru

На картинке 1. видно, что приложение "МТС" можно скачать с гугал плея, когда клацаем на download -> билдится уникальный токен в хпх(картинка 2.)

Мошейники немного отсталые, поэтому униказали в поле ввода пример ввода номера с "+7"(картинка 2.), но когда я ввожу номер с "+7", то выдает ошибку(картинка 4.)

На картинке 5. вы можете увидеть, что я ввел номер без "+" и все норм, после "далее" тот самый уникальный токен, который сам по себе является загрузкой апк малвари с сайта(я так понимаю, по логике вещей каждый билд является уникальным, генерится на стороне сервера)

Но еще помимо того, что они тупые и пр0йеб4лись с "+7", они не дропнули малварь на сервак сайта. Прикрепляю ниже
photo_2024-07-12_14-33-56.jpg



инфа с whois:


ns1.beget.com

5.101.159.11

ns1.beget.pro

5.101.159.11

ns2.beget.com

185.50.27.12

ns2.beget.pro

185.50.27.12

% TCI Whois Service. Terms of use:
% https://tcinet.ru/documents/whois_ru_rf.pdf (in Russian)
% https://tcinet.ru/documents/whois_su.pdf (in Russian)

domain: MTSMESSAGE.RU
nserver: ns1.beget.com.
nserver: ns1.beget.pro.
nserver: ns2.beget.com.
nserver: ns2.beget.pro.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: BEGET-RU
admin-contact: whois.beget.com
created: 2024-07-11T00:17:24Z
paid-till: 2025-07-11T00:17:24Z
free-date: 2025-08-11
source: TCI

Last updated on 2024-07-12T07:11:31Z



Information Updated: 2024-07-12 07:16:31

Site status:
Status - active
Server Type - nginx-reuseport/1.21.1


будет пополняться по мере сбора инфы, также будет круто, если неравнодушные заинтересуются данным ресурсом в т.ч не как целью для исследования, а как просто ЦЕЛЬЮ:)))(во благо отечества)
 
antikrya сказал(а):
мошеНникам
это уже статус специалистов, например которые контейнеры на 500к продают несуществующие или тип того, а этих можно и так обзывать
 
осинт1.jpg

далее
осинт2.jpg

чекаем панель, где был приобретен хост
https://fastpanel.direct

эти олени даже не удосужились добавить руссикий язык в интерфейс сайта, хотя заявлено, что адаптировано в т.ч. для РФ... или наоборот убрали русский язык, забыв элемент с указанием поддержки для русскоговорящих, хз крч, не буду политикой заниматься
https://fastpanel.direct/assets/docs/agreement_en.pdf (Registration No. 14118171, Republic of Estonia)

осинсисвыисывслот.jpg

стата с источника(реестра ripe)

Webupdates

Tool that allows to add new objects and edit or delete existing objects in the RIPE Database
apps.db.ripe.net

RIPEstat UI

RIPEstat is a large-scale information service and open data platform maintained by the RIPE NCC.
stat.ripe.net
 

Хмм. Нам не удаётся найти этот сайт.​


Мы не можем подключиться к серверу mtsmessage.ru.

Если вы ввели правильный адрес, вы можете:
  • Повторить попытку позже
  • Проверить подключение к сети
  • Проверить, что Firefox имеет разрешение на доступ в Интернет (возможно, вы подключены, но находитесь за межсетевым экраном).
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх