ブログ - ホモグラフ攻撃のSMSがきた ホモグラフ攻撃 スミッシング
こういうSMSは時々くるのだけれど,前回調べた時のように,ドメインを表すには不適切な文字が使われているので,PCで受け取ってもアクセスできないというエラーで終わってしまうけど,iPhoneでリンクを開くとまた結果が異なってきます.
iPhoneで開くとこんな感じ.
・このリンクは,UAをチェックする.
・アクセスがSafariだったら,偽のApp Storeへリンクしアカウントの入力を催促する
・アクセスがAndroidだったら,Chrome.apkをダウンロードする.
・PCだったら404エラーになる
iPhoneで開いた場合
Androidで開いた場合
Androidの場合はchrome.apkがダウンロードされる
ダウンロードしたAPKをVirusTotalで調査
基本的にはトロイだと出てますね.既知のマルウェア.
誘導先のドメインを調べる.
取得ホヤホヤ.
いくつかの評価サイトでチェック.
VirusTotalでは情報なし
WebPluseでは未評価
TRENDMICROではDangerousという評価
お客*様が不~在の為お何物を持ち帰りました。こちらにてご確*認ください𝙯-u.𝙣𝖽𝙢e𝗌.com?g6wbiPhoneで開くとこんな感じ.
・このリンクは,UAをチェックする.
・アクセスがSafariだったら,偽のApp Storeへリンクしアカウントの入力を催促する
・アクセスがAndroidだったら,Chrome.apkをダウンロードする.
・PCだったら404エラーになる
iPhoneで開いた場合
Androidで開いた場合
Androidの場合はchrome.apkがダウンロードされる
ダウンロードしたAPKをVirusTotalで調査
基本的にはトロイだと出てますね.既知のマルウェア.
誘導先のドメインを調べる.
$ whois ndmes.com🆑
Domain Name: NDMES.COM
Registry Domain ID: 2794694738_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2023-06-30T14:23:24Z
Creation Date: 2023-06-30T07:51:28Z
Registry Expiry Date: 2024-06-30T07:51:28Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS21.DOMAINCONTROL.COM
Name Server: NS22.DOMAINCONTROL.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-07-06T15:06:32Z <<<いくつかの評価サイトでチェック.
VirusTotalでは情報なし
WebPluseでは未評価
TRENDMICROではDangerousという評価
