初めて受け取りました。
電話番号
080[-]6040[-]7442
URL
hxxp://waetdasfh[.]duckdns[.]org
初めてスミッシングを受け取りました。
ちなみに「スミッシング」とは
SMSを用いたフィッシングのことです。
SMS + フィッシング = SMィッシング → スミッシング
でしょうかね。
職業病なのか少しテンションが上がったので、深追いしてみました。
■Virustotalで調査
今のところはスキャン結果はクリーンとなっているようです。
またステータス200返ってきているので、実在するWebページのようです。
正引きで返ってきたIPアドレス(128.1.248[.]195)の登録地域はアメリカです。
今のところはIPアドレスもクリーンなようでした。
■Aguseでの調査
別のURLにリダイレクトされているようでした。
hxxp://waetdasfh[.]duckdns[.]org/kwfcmpfnfeoaokq.apk
どうやらapkファイルをダウンロードさせるためのURLのようです。
初めて見た拡張子だったので調べてみたところ、Androidアプリに関するファイルのようでした。
自分の使っているスマホがAndroidなので、URLを踏んでいればそのアプリがダンロードさせられていたのでしょう。
ちなみにこのURLでVirustotalやってみたら引っかかってました。
次に行きます。
■urlscan.ioでの調査
このページでは対象のURLをスキャンし、レスポンスページのHTMLファイルを見れたりします。
「Show response」をクリックします。
大量のjava scriptらしきものが出てきました!!(テンション上げ)
これは怪し〜〜〜〜www
見てみたろ。
■Linux環境でWebページを動かしてみる
urlscanで返ってきたレスポンスページを丸々コピーして挙動を見ちゃいましょう。
ファイル名はmal.htmlとして、上記のhtmlを丸コピして、以下でwebサーバを起動します。
!!念の為、変な通信が外部に発生しないようインターネット接続からは隔離しています!!
python3 -m http.server
出たーーーーー!!
「セキュリティ向上のため,最新バージョンのChromeにアップデートしてください.」
のメッセージが出ました。
句読点がカンマだったり、ピリオドになってるあたり、惜しいですね〜。
OKを押してみましょう。
同一のホスト名に対して、/khbrcufcspywukaozafa.apkのURLへのアクセスが発生するようになりました。
つまり警告に対してOKボタンを押すことで、Androidファイルをダウンロードさせられることになります。
ちなみにwiresharkとかtcpdumpで確認したところ、インターネット向けに変な通信は発生していませんでした。あくまで同一ホストに対するパスが渡されているようですね。