Rapport après analyse de l’URL hxxp://www[.]0qkwn1h[.]cn
Nous avons utilisé l’outil burp suite comme proxy pour analyser les requêtes et les réponses
pour détecter tout ce qui est malicieux et ressortir les indices de compromission.
L’url suivante est identifiée comme malicieuse.
hxxp://benfly[.]net/4fe48aebd6/4f59451604/?campaign=eVBrZk4zbUVHbmhTK3N5QkUzK0p6QT09
L’url suivante est identifiée comme malicieuse :
hxxps://adjuringdraphy[.]com/dd2952bd-1ae4-4e6a-964815b49b4762b7?c2=26233199&c1=affC1633911146affa7e47629985a637a172
hxxp://preferable[.]top/1d5aXlcDckhGRAFZAhd5f1ZdfH8ERiQKLxMPDlkcJxk7NjInUyVAAV0BByETHA8
vMHQZKA?enf'
hxxp://preferable[.]top/9cefel0ABl5_RgFnVEloGDQyQzYfMWtWCGEoLjRIJlotFREeXAw2IjEYIVlGBjswH
Uw?wwc';
hxxp://preferable[.]top/9cefel0ABl5_RgFnVEloGDQyQzYfMWtWCGEoLjRIJlotFREeXAw2IjEYIVlGBjswH
Uw?wwc
hxxp://passioncolu[.]top/28efW35YgICR1R1ZTEPQgYBAAMxADwhBAlxDSMGA1xcXVtEVhU9Jx4CJyEbJw8KDkEiKQ?tke';var j2 =
hxxp://passioncolu[.]top/8914RQRGYlRVckUFd3YKJicwZSc1VW9ZJ3xVJTElHTcaVVUwWAxRIylGMQ9C
DV0BWyA?mmc';
L’url suivante est identifiée comme malicieuse :
hxxps://yv1c[.]xyz/e8ff0088ab/1c337ce436/?placementName=team_caiqingshen
Les ip(s) des hosts contactés sont les suivantes :
104[.]21[.]42[.]59
185[.]66[.]201[.]59
172[.]67[.]201[.]90
Fonctionnement général
De manière générale la campagne pose une série de 04 questions. Puis demande de partager la
campagne pour avoir plus de victimes. Le but est de faire croire à la victime qu’elle gagnera de
l’argent. Derrière cette campagne c’est d’avoir les informations des victimes et ensuite nous avons
plusieurs redirections vers des sites réputés malveillants cités plus haut.