1 réponse à ce sujet

[Rickey]

Bonjour,
 
depuis quelques jours, je remarque pas mal de spam venant de différent utilisateurs, inscrit depuis plus ou moins longtemps.
 
 

TL;DR

 
Les  utilisateurs qui ont cliqué sur le lien, rdv en bas du post.
 

 
 
Le schéma est le même, ils postent un simple lien:
 
 
/!\ NE CLIQUEZ PAS DESSUS ET N'OUVREZ PAS LE FICHIER HTML SANS SAVOIR CE QUE VOUS FAITES /!\
 
 

https://************/2021/05/12/roulette-in-river-casino

 

Spoiler

 
Un petit curl m'a permis d'obtenir la page HTML en question.
Mes compétences en matière de HTML et plus précisément en JavaScript étant limité, je ne peut pas savoir exactement ce que ce site fait, mais certaines parties du code me paraissent chelou:
 
 

<script type="text/javascript">
			window._wpemojiSettings = {"baseUrl":"https:\/\/s.w.org\/images\/core\/emoji\/12.0.0-1\/72x72\/","ext":
".png","svgUrl":"https:\/\/s.w.org\/images\/core\/emoji\/12.0.0-1\/svg\/","svgExt":".svg","source":{"concatemoji":
"https:\/\/wsvmarketing.com\/wp-includes\/js\/wp-emoji-release.min.js?ver=5.4.5"}};
			/*! This file is auto-generated */
			!function(e,a,t){var n,r,o,i=a.createElement("canvas"),p=i.getContext&&i.getContext("2d")
;function s(e,t){var a=String.fromCharCode;p.clearRect(0,0,i.width,i.height),p.fillText(a.apply(this,e),0,0);
e=i.toDataURL();return p.clearRect(0,0,i.width,i.height),p.fillText(a.apply(this,t),0,0),e===i.toDataURL()}function 
c(e){var t=a.createElement("script");t.src=e,t.defer=t.type="text/javascript",a.getElementsByTagName("head")[0].
appendChild(t)}for(o=Array("flag","emoji"),t.supports={everything:!0,everythingExceptFlag:!0},r=0;r<o.length;r++)
t.supports[o[r]]=function(e){if(!p||!p.fillText)return!1;switch(p.textBaseline="top",p.font="600 32px Arial",e)
{case"flag":return s([127987,65039,8205,9895,65039],[127987,65039,8203,9895,65039])?!1:!s([55356,56826,55356,56819]
,[55356,56826,8203,55356,56819])&&!s([55356,57332,56128,56423,56128,56418,56128,56421,56128,56430,56128,56423,56128,56447]
,[55356,57332,8203,56128,56423,8203,56128,56418,8203,56128,56421,8203,56128,56430,8203,56128,56423,8203,56128,56447]);case"emoji":
return!s([55357,56424,55356,57342,8205,55358,56605,8205,55357,56424,55356,57340],[55357,56424,55356,57342,8203,55358,56605,8203,55357,56424,55356,57340])}
return!1}(o[r]),t.supports.everything=t.supports.everything&&t.supports[o[r]],"flag"!==o[r]&&(t.supports.everythingExceptFlag=t.supports.everythingExceptFlag&&
t.supports[o[r]]);t.supports.everythingExceptFlag=t.supports.everythingExceptFlag&&!t.supports.flag,t.DOMReady=!1,t.readyCallback=function(){t.DOMReady=!0},
t.supports.everything||(n=function(){t.readyCallback()},a.addEventListener?(a.addEventListener("DOMContentLoaded",n,!1),e.addEventListener("load",n,!1)):(e.attachEvent
("onload",n),a.attachEvent("onreadystatechange",function(){"complete"===a.readyState&&t.readyCallback()})),(n=t.source||{}).concatemoji?c(n.concatemoji)
:n.wpemoji&&n.twemoji&&(c(n.twemoji),c(n.wpemoji)))}(window,document,window._wpemojiSettings);
		</script>

 
Ce que je comprends en gros, la page va afficher des émojis et grappiller ou d'insérer des data. rien de bien anormal pour moi, j'ai l'impression que c'est "une boite de dialogue".
Mais ça me fait grincer des dents et j'ignore pourquoi.
 
Et rien ne me rassure quand je vois ces deux bout de code:
 

<script type='text/javascript'>
var ElementorProFrontendConfig = {"ajaxurl":"https:\/\/wsvmarketing.com\/wp-admin\/admin-ajax.php","nonce":"1442d63132",
"urls":{"assets":"https:\/\/wsvmarketing.com\/wp-content\/plugins\/elementor-pro\/assets\/"},
"i18n":{"toc_no_headings_found":"No headings were found on this page."},
"shareButtonsNetworks":{"facebook":{"title":"Facebook","has_counter":true},"twitter":{"title":"Twitter"},"google":
{"title":"Google+","has_counter":true},"linkedin":{"title":"LinkedIn","has_counter":true},"pinterest":
{"title":"Pinterest","has_counter":true},"reddit":{"title":"Reddit","has_counter":true},"vk":
{"title":"VK","has_counter":true},"odnoklassniki":{"title":"OK","has_counter":true},"tumblr":
{"title":"Tumblr"},"digg":{"title":"Digg"},"skype":{"title":"Skype"},"stumbleupon":{"title":"StumbleUpon","has_counter":true}
,"mix":{"title":"Mix"},"telegram":{"title":"Telegram"},"pocket":{"title":"Pocket","has_counter":true},"xing":
{"title":"XING","has_counter":true},"whatsapp":{"title":"WhatsApp"},"email":{"title":"Email"},"print":{"title":"Print"}},"facebook_sdk":
{"lang":"en_US","app_id":""},"lottie":{"defaultAnimationUrl":"https:\/\/wsvmarketing.com\/wp-content\/plugins\/elementor-pro\/modules\/lottie\/assets\/animations\/default.json"}};
</script>

ainsi que
 

<script type='text/javascript'>
var elementorFrontendConfig = {"environmentMode":{"edit":false,"wpPreview":false,
"isScriptDebug":false},"i18n":{"shareOnFacebook":"Share on Facebook","shareOnTwitter":
"Share on Twitter","pinIt":"Pin it","download":"Download","downloadImage":"Download image",
"fullscreen":"Fullscreen","zoom":"Zoom","share":"Share","playVideo":"Play Video","previous":
"Previous","next":"Next","close":"Close"},"is_rtl":false,"breakpoints":{"xs":0,"sm":480,"md":
768,"lg":1025,"xl":1440,"xxl":1600},"responsive":{"breakpoints":{"mobile":{"label":"Mobile",
"value":767,"direction":"max","is_enabled":true},"mobile_extra":{"label":"Mobile Extra",
"value":880,"direction":"max","is_enabled":false},"tablet":{"label":"Tablet","value":1024,"direction":"max",
"is_enabled":true},"tablet_extra":{"label":"Tablet Extra","value":1365,"direction":"max","is_enabled":false},
"laptop":{"label":"Laptop","value":1620,"direction":"max","is_enabled":false},"widescreen":{"label":"Widescreen",
"value":2400,"direction":"min","is_enabled":false}}},"version":"3.2.3","is_static":false,"experimentalFeatures":
{"form-submissions":true},"urls":{"assets":"https:\/\/wsvmarketing.com\/wp-content\/plugins\/elementor\/assets\/"},
"settings":{"page":[],"editorPreferences":[]},"kit":{"active_breakpoints":["viewport_mobile","viewport_tablet"],"global_image_lightbox":
"yes","lightbox_enable_counter":"yes","lightbox_enable_fullscreen":"yes","lightbox_enable_zoom":"yes","lightbox_enable_share":"yes",
"lightbox_title_src":"title","lightbox_description_src":"description"},"post":{"id":378,"title":"%5BHEREISPOSTTITLE%5D%20%E2%80%93%20WSV%20Marketing",
"excerpt":"","featuredImage":false}};
</script>

 
 
N'y connaissant rien en JavaScript j'ai l'impression que c'est une authentification par cookies via ces différents réseaux sociaux qui permettent de vous loguer/inscrire via un autre site (vous savez le fameux "s'inscrire avec Facebook" qu'il ne faut jamais utiliser).
 
L'autre truc auquel je pense, c'est que cela doit afficher une pub qui bloque ton navigateur façon arnaque support Microsoft mais le script foire.
 
la page à l'air tout à fait normal pourtant :
 

 
et bizarrement quand le script est terminé, on tombe sur une erreur 404... Alors que la page existe... Très malin !
 
 

 
 
Pour ce qui est des entêtes je n'ai pas remarqué grand-chose, si ce n'est que :
 
 

* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!

 
screen:
 
 

 
par contre le whois est intéressant, on a un magnifique :
 
 

Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited

 
 
En gros il est répertorié comme site nuisible par l'ICAN
 

 

 
Pour les utilisateurs qui ont cliqué sur ce lien, vous avez potentiellement une épée de Damoclès sur votre tête, changez TOUS vos mots de passes, réseaux sociaux, sites, mails, etc... et activez la double authentification si ce n'est pas déjà fait.
 
 
J'en appelle aux administrateurs du site de faire le nécessaire, car nous ne savons pas à quoi nous attendre.
 
Voili voilou!

Fichier(s) joint(s)

•  casino.html   31,94 Ko   0 téléchargement(s)

[phantom-lord]

Salut,

 

Très bon post, il vaut mieux prévenir que guérir, surtout quand on parle de MDP. Perso j'ai pas cliqué, malgré noscript, je reste parano.