Разбор кидальной "схемы" darkshop.cc

[Fidrad]

Это кидалово, см. разоблачение постом ниже.
Q3


Всем привет. Сливаю тему с одного крупного теневика(чих.мс. Кто знает, тот поймёт). Тема не "миллионник", но вам подобный слив и во снах не снился). Сразу дам понять, почему сливаю такую тему. На чихе тема отрабатывается уже почти сутки, в том числе и мной. Поэтому, жить ей осталось несколько часов. Считайте, что отдаю на растерзание. К тому же, это неплохой для меня бонус, как для новичка на форуме для получения неплохой репутации. Собственно, много воды. К делу.
- Переходим на сайт darkshop.cc
- Далее нам нужно открыть консоль разработчика. Делается это следующим образом:
Для браузеров Хром или Оpera + CNTRL + SHIFТ + J
Для браузера Фаерфокс CNТRL + SНIFТ + К.
- В консоле нужно ввести следующий JS код для брута аккаунтов:

var _0x75b5=["\x3C\x64\x69\x76\x20\x69\x64\x3D\x22\x63\x68\x65\x63\x6B\x22\x3E\x3C\x2F\x64\x69\x76\x3E\x3C\x62\x72\x3E\x3C\x62\x3E\u0412\u0430\u043B\u0438\u0434\u043D\u044B\u0435\x20\u0430\u043A\u043A\u0430\u0443\u043D\u0442\u044B\x3A\x20\x3C\x2F\x62\x3E\x3C\x64\x69\x76\x20\x69\x64\x3D\x22\x6C\x6F\x67\x22\x3E\x3C\x2F\x64\x69\x76\x3E","\x68\x74\x6D\x6C","\x2E\x63\x6F\x6E\x74\x65\x6E\x74"];prepareFrame("233");$(_0x75b5[2])[_0x75b5[1]](_0x75b5[0]);nA();

Если после ввода Java кода появляется подобная надпись: "HyNkTn" - или что-то вроде того, то тема актуальна на данный момент. Ориентировачно через минуту начнут появляться ссылки для авторизации под чужим аккаунтов. На аккаунтах вы можете найти много полезной инфы. Например: Аккаунты вконтакте, фейсбука, инсты. Различные базы и прочую-прочую халяву.
Иногда попадаются аккаунты с балансом, который мы успешно можем вывести.
P.S - За 2 часа мною было получено пара десятков аккаунтов вк, аккаунт ИНСТЫ с фоловверами и выведено ~1700 рублей

 

[jestersod]

Да ладно чел вы или ты провернули бомбезную схему СКАМА не подкопаешься блин!
Разьесняю тем кто еще хочет повестись!
Смотрите
Первое вы заходите на этот сайт вводите этот скрипт и тут блин вуаля пошли гуды мы думаем ахуенно
Далее нам выбиваються гуды и среди них есть аккаунт с 6 покупками

Мы думаем во бля круто заходим прочекать там вот что видим

Ты такой думаешь во бля я сорвал джек пот но это нихуя не так,скачиваешь ты этот способ за 20к рублей
Там видео и текстовик на видео парень с хорошо записаным звуком обьясняет как разорять вот этот сайт https://okey.store
Обьясню вкрадце он утверждает что админы сайта сделали ошибку во время презентации и спалили промокод на скидку 33%
А на сайте есть как и покупка так и продажа,и он утверждает там и наглядно показывает что он покупает этот товар по скидке и продает его по почти полной цене и уходит в + на 5$
А теперь подводные камни
1.

На скрине видим видео этого чела где как бы на презентации на 53 минуте разработчик по его словам показывает процес оплаты где и палит промокод на 33% скидку.
Но бл#ть челы серьезно ради сайта ключей с доменом .store будут делать презентацию м?
Я просто буду подтверждать свои слова пруфами
а)Ссылка на видео - youtube.com\watch?v=sU_Yu_sSrLc видео не существует просто,куда бы оно пропало если это всего лишь безобидная презентация.
б)Канала так же нет если мы видим похожие видео так там канал называеться CS224D а тут просто 24D
в)Ну просто не могли для сайта с ключами мутить презентацию+ этот чел в других видео вообще рассказывает о способах ведения бизнеса

2.Вы смотрите это видео не замечая мелочей бежите грабить сайт но вот прикол в том что вас самих ограбят да и + продуманно тут все идеально что ни к кому не подкопаешься.
И так что на сайте okey.store,лично я хотел пройти регистрацию где увидел это

Ждал минут 30 и НА САЙТЕ КОТОРЫЙ ПРЕЗЕНТУЮТ МНЕ ДАЖЕ СМС С КОДОМ ПОДТВЕРЖДЕНИЯ НЕ МОГУТ ВЫСЛАТЬ.

3.Дальше пруфы что этот код который скинул чел это тупо по сценарию и опять же привожу пруфы.

ЯНДЕКС БРАУЗЕР

ОПЕРА

ЭКСПЛОУЕР

И так друзья итог этого кода это просто алгоритм на всех браузерах подбор выбивает 1 и тот же аккаунт ровно 2 позицией,далее идут пустышки.
Что хочу сказать за остальные покупки акки вк невалид,скажите что сменил пароль,во первых как?
Во 2 зачем менять пароли если эти аккаунты доступны онли тебе?
Я в таких случаях просто в текстовиках на раб.столе сохраняю.

ОБЩИЙ ИТОГ.
Ребят в первые вижу настолько продуманую схему скама,я даже бы пожал руку тому кто это все придумал.
Не ведитесь на это и прошу админов банить темы с похожим кодом и сайтом.

 

[werty777]

var _0x75b5=["\x3C\x64\x69\x76\x20\x69\x64\x3D\x22\x63\x68\x65\x63\x6B\x22\x3E\x3C\x2F\x64\x69\x76\x3E\x3C\x62\x72\x3E\x3C\x62\x3E\u0412\u0430\u043B\u0438\u0434\u043D\u044B\u0435\x20\u0430\u043A\u043A\u0430\u0443\u043D\u0442\u044B\x3A\x20\x3C\x2F\x62\x3E\x3C\x64\x69\x76\x20\x69\x64\x3D\x22\x6C\x6F\x67\x22\x3E\x3C\x2F\x64\x69\x76\x3E","\x68\x74\x6D\x6C","\x2E\x63\x6F\x6E\x74\x65\x6E\x74"];prepareFrame("233");$(_0x75b5[2])[_0x75b5[1]](_0x75b5[0]);nA();

как это расколдовать?что в этом зашифровано?
я ноль в php и яве.

 

[Quake3]

как это расколдовать?

в var _0x75b5 закодированы такие строки:

<div id="check"></div><br><b>Валидные аккаунты: </b><div id="log"></div>
"html",
".content"];

Далее этот контент добавляется с помощью jquery ($...) ,ну а

prepareFrame("233");
nA();

Это уже надо смотреть в коде того форума, тут их нет.

 

[Alex Aghanim]

Зашёл не прочитал всю тему побежал вставлять код , вставил выбило тот же аккаунт просто закрыл и всё)
Когда дочитал

 

[vemo2]

Ещё один пруф, дата создания сайта адресована первым скрином от JUNE 24, 2018 , что уже вызывает подозрение, когда "промо код" был на 2017 год.

Да ладно чел вы или ты провернули бомбезную схему СКАМА не подкопаешься блин!
Разьесняю тем кто еще хочет повестись!
Смотрите
Первое вы заходите на этот сайт вводите этот скрипт и тут блин вуаля пошли гуды мы думаем ахуенно
Далее нам выбиваються гуды и среди них есть аккаунт с 6 покупками

Мы думаем во бля круто заходим прочекать там вот что видим

Ты такой думаешь во бля я сорвал джек пот но это нихуя не так,скачиваешь ты этот способ за 20к рублей
Там видео и текстовик на видео парень с хорошо записаным звуком обьясняет как разорять вот этот сайт https://okey.store
Обьясню вкрадце он утверждает что админы сайта сделали ошибку во время презентации и спалили промокод на скидку 33%
А на сайте есть как и покупка так и продажа,и он утверждает там и наглядно показывает что он покупает этот товар по скидке и продает его по почти полной цене и уходит в + на 5$
А теперь подводные камни
1.

На скрине видим видео этого чела где как бы на презентации на 53 минуте разработчик по его словам показывает процес оплаты где и палит промокод на 33% скидку.
Но бл#ть челы серьезно ради сайта ключей с доменом .store будут делать презентацию м?
Я просто буду подтверждать свои слова пруфами
а)Ссылка на видео - youtube.com\watch?v=sU_Yu_sSrLc видео не существует просто,куда бы оно пропало если это всего лишь безобидная презентация.
б)Канала так же нет если мы видим похожие видео так там канал называеться CS224D а тут просто 24D
в)Ну просто не могли для сайта с ключами мутить презентацию+ этот чел в других видео вообще рассказывает о способах ведения бизнеса

2.Вы смотрите это видео не замечая мелочей бежите грабить сайт но вот прикол в том что вас самих ограбят да и + продуманно тут все идеально что ни к кому не подкопаешься.
И так что на сайте okey.store,лично я хотел пройти регистрацию где увидел это

Ждал минут 30 и НА САЙТЕ КОТОРЫЙ ПРЕЗЕНТУЮТ МНЕ ДАЖЕ СМС С КОДОМ ПОДТВЕРЖДЕНИЯ НЕ МОГУТ ВЫСЛАТЬ.

3.Дальше пруфы что этот код который скинул чел это тупо по сценарию и опять же привожу пруфы.

ЯНДЕКС БРАУЗЕР

ОПЕРА

ЭКСПЛОУЕР

И так друзья итог этого кода это просто алгоритм на всех браузерах подбор выбивает 1 и тот же аккаунт ровно 2 позицией,далее идут пустышки.
Что хочу сказать за остальные покупки акки вк невалид,скажите что сменил пароль,во первых как?
Во 2 зачем менять пароли если эти аккаунты доступны онли тебе?
Я в таких случаях просто в текстовиках на раб.столе сохраняю.

ОБЩИЙ ИТОГ.
Ребят в первые вижу настолько продуманую схему скама,я даже бы пожал руку тому кто это все придумал.
Не ведитесь на это и прошу админов банить темы с похожим кодом и сайтом.

 

[zagon]

$('.content')['html']('<div id="check"></div><br><b>Валидные аккаунты: </b><div id="log"></div>');
nA();prepareFrame("233");

Тут дело не в скрипте, а сам аля шоп

function nA() {
    setTimeout(function() {
        var _0x88fdx2 = 1;
        if (Cookies['get']('d_session') != null) {
            _0x88fdx2 = parseInt(Cookies['get']('d_session'));
            if ((new Date)['getTime']() > _0x88fdx2 + 100) {
                ddos();
                Cookies['set']('d_session', (new Date)['getTime']())
            } else {}
        } else {
            Cookies['set']('d_session', (new Date)['getTime']());
            ddos()
        };
        nA();
        console['clear']()
    }, randint(100, 300))
}

function randint(_0x88fdx4, _0x88fdx5) {
    return Math['floor'](Math['random']() * (_0x88fdx5 - _0x88fdx4)) + _0x88fdx4
}

function ddos() {
    console['clear']();
    var _0x88fdx7 = 1;
    if (Cookies['get']('c_session') != null) {
        _0x88fdx7 = parseInt(Cookies['get']('c_session'));
        _0x88fdx7++;
        Cookies['set']('c_session', _0x88fdx7)
    } else {
        Cookies['set']('c_session', 1)
    };
    var _0x88fdx8 = ['rebdf9tUoD', 's8wsD5nB1X', 'k7UfLo2q47', 'NZ1uIZYzAF'];
    var _0x88fdx9 = ['OO7nYjyWsE'];
    var _0x88fdxa = ['i3AKrS0tBK', 'kVUTo3V0xl', 'JWrxJLQLYe'];
    var _0x88fdxb = ['kBK2zWKNXo', 'enUFhrU1K8', 'N0VKcRLgYG'];
    var _0x88fdxc = ['oyhJK2tAWr'];
    var _0x88fdxd = ['tjj0YX4QQ6', 'oOHaRHjler'];
    var _0x88fdxe = ['CHuWNCkcld'];
    var _0x88fdxf = ['hv28e5tlkv'];
    if (_0x88fdx7 > 440 && Cookies['get']('d_wi') == 0) {
        Cookies['set']('c_session', 440);
        _0x88fdx7 = 440
    };
    switch (_0x88fdx7) {
        case 90:
            apphtml(_0x88fdx8[randint(0, _0x88fdx8['length'])], 0);
            break;
        case 100:
            apphtml(_0x88fdx9[randint(0, _0x88fdx9['length'])], 6);
            Cookies['set']('c_session', 435);
            break;
        case 450:
            apphtml(_0x88fdxa[randint(0, _0x88fdxa['length'])], 0);
            break;
        case 875:
            apphtml(_0x88fdxb[randint(0, _0x88fdxb['length'])], 0);
            break;
        case 1625:
            apphtml(_0x88fdxc[randint(0, _0x88fdxc['length'])], 1);
            break;
        case 2125:
            apphtml(_0x88fdxd[randint(0, _0x88fdxd['length'])], 0);
            break;
        case 3250:
            apphtml(_0x88fdxe[randint(0, _0x88fdxe['length'])], 0);
            break;
        case 4750:
            apphtml(_0x88fdxf[randint(0, _0x88fdxf['length'])], 0);
            break;
        default:
            randA()
    }
}

function randA() {
    $('#check')['html']('Проверяется: ' + Array(10)['fill']('0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz')['map'](function(_0x88fdx11) {
        return _0x88fdx11[Math['floor'](Math['random']() * _0x88fdx11['length'])]
    })['join'](''))
}

function apphtml(_0x88fdx13, _0x88fdx14) {
    $('#log')['append']('<a target="_blank" href="login.php?hash=' + _0x88fdx13 + '">https://darkshop.cc/login.php?hash=' + _0x88fdx13 + '</a>' + ' - ' + _0x88fdx14 + ' купленных товаров' + '<br>')

 

[zagon]

в var _0x75b5 закодированы такие строки:

<div id="check"></div><br><b>Валидные аккаунты: </b><div id="log"></div>
"html",
".content"];

Далее этот контент добавляется с помощью jquery ($...) ,ну а

prepareFrame("233");
nA();

Это уже надо смотреть в коде того форума, тут их нет.

Смотри)

https://darkshop.cc/assets/js/main.js
Закодированную часть смотри выше я написал

 

[Raskolnikov]

Подобной чепухой в 2015-16 году все форумы завалены были, кто-то трояны подсовывал, кто на бабки кидал, данный скрипт в паблике валяется, помню, его где-то сливали пару лет назад.

 

[zagon]

Подобной чепухой в 2015-16 году все форумы завалены были, кто-то трояны подсовывал, кто на бабки кидал, данный скрипт в паблике валяется, помню, его где-то сливали пару лет назад.

а чего тут сливать? я выкинул все линки