زمان جاری : شنبه 03 تیر 1396 - 3:24 قبل از ظهر
نام کاربری :
پسورد :

آخرین اخبار و اطلاعیه ها

کاربر گرامی:اگر تازه ثبت نام کرده اید لطفا قوانین انجمن را بخوانید،تا با مشکلی روبه رو نشوید.


تاپیک سایت های مفید و کاربردی
•´¯`•.چت روم تالار گفتمان اسکینک دات آی آر .•´¯`•
تاپیک جامع تغییر نام کاربری اعضای اسکینک

پاسخ جدید
نویسنده پیام
grand
آنلاین

ارسال‌ها : 7820
عضویت: 25 /9 /1393
سن: 21
تعداد اخطار: 4
تشکرها : 4269
تشکر شده : 4841
پشت‌پرده‌ی پیامک تبلیغ هک تلگرام حتما بخوانید»
سلام

به نام خدا

این قسمت پشت‌ پرده‌ی پیامک تبلیغ ه*ک تلگرام :



با افزایش کاربران ایرانی اپلیکیشن تلگرام، توجه فرصت‌طلبان و اسپمرها هم به این موضوع جلب شد. روزانه تبلیغ‌های زیادی برای هک تلگرام می‌بینم و یا دوستان برام می‌فرستند. پیش از این در پست‌های دیگه‌ای پشت پرده‌ی این تبلیغات رو نشون داده بودم. در چند روز اخیر پیامک‌های اسپم زیادی با مضمون تبلیغ هک تلگرام ارسال شده بود. تصمیم گرفتم این اسپم رو بررسی کنم و افرادی که مسئول فریب کاربران و ایجاد جو روانی ناامن هستند رو معرفی کنم.

اگر با کامپیوتر به آدرس فوق برید، ریدایرکت می‌شه به آدرس دیگه‌ای:





1

http://safehost.ml/shoping/

هرکسی که پشت این اسپم بوده، تلاش زیادی کرده بود ردپاهای خودش رو پاک کنه و تا حد زیادی هم موفق بود.
دوست خوبم علی برهانی توجهم رو جلب کرد به اینکه در مرورگرهای دیگه این ریدایرکت انجام نمی‌شه. با مرورگر تور و با استفاده از افرونه No Script آدرس اول رو باز کردم و از اجرای کدهای جاوا اسکریپت جلوگیری کردم. نتیجه این شد که صفحه اصلی فروش بسته هک رو دیدم.

اسپمرها از لوگوی «نماد اعتماد الکترونیک» برای فریب مراجعه‌کننده‌ها و ایجاد اعتماد کاذب استفاده می‌کنند. اگر کد صفحه رو نگاه کنیم متوجه می شیم که با استفاده از جاوا اسکریپت سعی کرده‌اند مانع از دیده شدن این صفحه در کامپیوتر بشوند. شاید فکر می‌کردند بررسی اطلاعات در گوشی سخت‌تره و امکان لو رفتنشون کمتر می‌شه.

برای بستن راه‌های پیگیری هم از دادن ایمیل و یا شماره تلفن پشتیبانی هم خودداری کرده‌اند و فقط یک بات تلگرام معرفی شده.





1

https://telegram.me/teleposhtiban_bot

صفحه پرداخت با آدرس زیر در دسترس است که شامل راهنمایی کاملی از گرفتن رمز دوم تا پرداخت از طریق اینترت رو شامل شده:





1

http://safehost.ml/shoping/shop/nnewpay.html

آدرس‌های قدیمی‌تری هم برای درگاه‌های واسط دیگه وجود داره که البته الان از کار افتاده‌اند:





1
2

http://safehost.ml/shoping/shop/newpay.html
http://safehost.ml/shoping/shop/index.html

تا اینجا به نطر می‌رسید بررسی‌ها به در بسته خورده. نه آدرس ایمیلی وجود داشت، نه دامنه رسمی قابل بررسی، نه شماره تلفن. متن‌های استفاده شده هم مرتبط با همین سایت‌ها بودند. دامنه‌های با پسوند ml به این خاطر که اطلاعات واقعی برای ثبتش استفاده نمی‌شه، راه‌کار جدید اسپمرهاست برای مخفی شدن. پسوند دامنه tk هم همین وضعیت رو داره.
برای اینکه اطلاعات بیشتری به دست بیارم نیازمند همکاری درگاه‌های پرداخت بودم که یا اکانت این اسپمرها رو ببندند و یا اطلاعاتی رو جهت شناساییشون در احتیارم بگذارند. امکان دیگه هم کمک گرفتن از سرویس webshomar بود که این افراد در این سایت (و در سایت‌های دیگه‌ای که در ادامه می‌بینیم) استفاده کرده بودند. معمولا سرویس‌ها این اطلاعات رو به جایی نمی‌دن و چون خودشون هم درآمد دارند، نمی‌شه امیدی به بسته شدن اکانت داشت مگر اینکه حکم قضایی براش داشته باشیم.

چند ساعتی کار رو متوقف کردم و به فوق‌العادف بودنمون فکر کردم.
ما فوق‌العاده‌ایم
سراغ صفحه پرداخت رفتم و با انتخاب بانک و وارد کردن اطلاعات خطا، به سایت برگشتم، جایی که اولین اشتباه رو مرتکب شدند و راه شناساییشون هموار شد.





1

http://safehost.ml/shoping/prob.html

همونطور که در این صفحه می‌بینید، اطلاعات قدیمی وجود داره که هنوز پاکسازی نشده.

می‌بینیم که قبلا از آدرس tele روی یکی از سرویس‌های رایگان استفاده می‌کردند. همچنین آدرس قرارگیری فایل‌ها روی سرور رو در خطای نوشته شده در ابتدای تصویر می‌بینید. نکته مهمتر اما آدرس تلگرام پیشین این گروه است.
با جستجوی این آدرس تلگرام به سایت دیگه‌ای می‌رسیم. سایت فروش فیلم آموزشی روابط جنسی.





1

http://sosfil.**tk/

من دو تا ستاره به آدرس اضافه کردم که کسی به اشتباه باز نکنه چرا که بدافزار توزیع می‌کنه.


تصویر فوق بدلیل نامناسب بودن توسط استار حذف شد


این آدرس ریدایرکت می‌شه به صفحه دیگه‌ای که مراجعه‌کنندگان رو فریب می‌ده تا یک بدافزار رو به اسم ترانه‌ای از شادمهر عقیلی دانلود کنند.

می‌بینید که بدافزار داره از یک سایت دیگه فراخونده می‌شه:





1

http://eshgheshgh.tk

این سایت هم برای فروش «کتاب عشق و شهوت» راه‌اندازی شده گویا و شماره تلفنی هم برای پشتیبانی داره اما به نظر می‌رسه شماره کس دیگه‌ای رو توی سایت گذاشته باشند. پرونده این گروه داره کم‌کم پربارتر می‌شه.
این سایت و بدافزار روی سروری به آدرس ۱۸۵.۵۵.۲۲۴.۸۸ میزبانی می‌شه.
تحلیل بدافزار
بدافزار رو دانلود کردم تا با بررسی بیشتری انجام بدم. پس از اجرا، بدافزار از سایت sitedeveloper.ir که روی همون سرور گفته شده میزبانی می‌شه، فایل‌های Dec.dat و Enc.txt که تنظیمات تکمیلی خودش است رو دانلود می‌کنه. هکر سعی کرده با جدا کردن فایل تنظیمات، امکان به‌روز رسانی بدافزار و مخفی کردن خودش رو داشته باشه.
سایت sitedeveloper متعلق به آقای ایثار جانفزا است. دو احتمال وجود داره:
  • مدیر سایت یا یکی از اعضای این گروه، از سایت برای توزیع بدافزار استفاده کرده باشه[*]سایت هک شده باشه و مدیر سایت اطلاع نداشته باشه که از سایتش برای توزیع بدافزار استفاده شده
در ادامه خواهیم دید که گزینه اول درسته.
من فایل Dec.dat رو بررسی کردم تا ببینم بدافزار قراره با سیستم قربانی چکار بکنه و چه اطلاعات دیگه‌ای می‌شه به دست آورد.

در این فایل، آدرس دسترسی به بخش دیگه‌ای از تنظیمات بدافزار با روش base64 رمز شده بود. با برگردوندش به حالت عادی به آدرس زیر می‌رسیم.





1

http://sitedeveloper.ir/Pouya/File.xml

فایل بالا شامل آدرس یک فایل dll است که دیگه در دسترس نیست. از اسم قایل به نظر می‌رسه قرار بوده به عنوان باج‌افزار استفاده بشه.

درسته که این فایل و سایت دیگه در دسترس نیستند اما اطلاعات مهمی رو در اختیار ما می‌گذارند. این سایت رو آقای poury eman با ایمیل pourya.eman@yahoo.com ثبت کرده.
در این تصویر می‌بینید که روی این آدرس فایل مخرب دیگه‌ای هم توزیع شده بوده:

به دو گزینه آخر دقت کنید. بعدا این فایل‌ها رو خواهیم دید.
احتمالا این آقای pourya eman همون پوریا ایمانوردی است با آدرس فیسبوک https://www.facebook.com/pourya.eman که شغل خودش رو webmaster گفته.

در آدرس یوتیوب زیر هم می‌بینید که فیلمی از معرفی یکی از محصولات مجموعه sitedeveloper به مدیریت آقای ایثار جانفزا رو گذاشته. پس نمی‌تونه هکر باشه، بلکه عضوی از اون مجموعه است.





1

https://www.youtube.com/watch?v=LIsG3rN3WL4

می‌بینید که آدرس صفحه این محصول شامل کلمه seo بسیار شبیه آدرس‌های استفاده شده در سایت janganj برای توزیع بدافزار است.

از نکته‌های جالب اینکه آقای pourya eman تو کار راه‌اندازی و فروش vpn هم هست و سازمان خودش رو زمان ثبت دامنه num1vps معرفی کرده. در فروم‌های مختلف هم با گاهی با نام کاربری number.1 اکانت ساخته. همچنین آدرس‌های زیر رو هم ثبت کرده بوده.





1
2
3

http://website.informer.com/num1vpn2.ir
http://website.informer.com/num1vpn3.ir
http://www.whoismind.com/whois/num1ads.com.html

یکی دیگه از سایت‌های ایشون NUM1VPN98.COM بوده. مشخصات این دامنه رو در تصویر زیر می‌بینید.

می‌بینید که این دامنه هم به فردی که پیش از این برای تبلیغ دیگه‌ای از هک تلگرام معرفی کرده بودم، مرتبطه. مجموعه feelfa به مدیریت آقای سیاوش احمد زاده. برای اطلاعات تکمیلی، پست «پشت پرده تبلیغ هک تلگرام» رو بخونید.
کار تیمی
به این نتیجه رسیدم که pourya eman سایت sitedeveloper رو هک نکرده بلکه همکار اون مجموعه است. بذارید ببینیم مدیر مجموعه آقای ایثار جانفزا چه نقشی در این اسپم و توزیع بدافزار داره.
ایشون با ایمیل‌های isarjanfaza_1363@yahoo.com و isarjanfaza.1363@gmail.com و nullcms_web@yahoo.com در جاهای مختلفی اکانت دارند. از جمله در یکی از فروم‌های هکرهای ایرانی در خواست کمک برای هک داده‌اند:

همچنین از سال ۲۰۱۰ عضو انجمن آشیانه بوده‌اند.





1

http://ashiyane.org/forums/member.php?1052919-isar_janfaza

ایشون سال ۹۳ یک فیلترشکن رایگان برای استفاده عموم گذاشتند:

این لینک کوتاه شده رو که باز بکنیم به آدرس زیر می‌رسیم.





1

http://w.3eoweb.**com/Run.exe

مجددا دو تا ستاره توی آدرس گذاشتم. این فایل در حال حاضر در دسترس نیست اما سابقه بررسی نشون می‌ده که یک بدافزار بوده. این فایل Run.exe نمونه همون فایلیه که در تصاویر پیشین گفتم مجددا مشابهش رو می‌بینیم. نمونه این فایل رو pourya eman هم از طریق سایتش توزیع کرده بود. در ادامه مجددا این آدرس سایت رو خواهیم دید.

پس آقای ایثار جانفزا هم سابقه توزیع بدافزار به اسم وی‌پی‌ان رو داشته.
مرد سوم
همونطور که در سایت sitedeveloper نوشته شده، کار طراحی وب‌سایت رو همین افراد به اسم «گروه مهندسی ماتریکس» انجام می‌دن. سایت این گروه megportal.net است و در بخش تماس با ما می‌بینیم که:

آدرس ایمیلی که اشاره کردم، توی بررسی‌ها پیشین به چشمم خورده بود. بررسی بیشتری کردم تا ببینم توی این همکاری در اسپم و هک دستی داشته یا نه.
ایمیل متعلق به آقای ابراهیم خلیفه است که در فیسبوکشون محل کار رو computers زدن.

در تصویر زیر می‌بینیم که آقای ابراهیم خلیفه با آدرس ایمیل گفته شده، صاحب امتیاز دامنه ۳eoweb است که پیشتر دیدیم آقای ایثار جانفزا ازش برای توزیع بدافزار استفاده کرده بود.

به نظر می‌رسه ۳ همکار اینجا داریم. آقایان پوریا ایمان‌وردی، ابراهیم خلیفه و ایثار جانفزا که هم طراحی سایت انجام می‌دن، هم نرم‌افزار هک شده می‌فروشند (نمونه فروش سورس نرم‌افزارها وجود داره)، هم کار میزبانی سایت انجام می‌دن و همزمان اسپم می‌فرستند، پکیج آموزش رابطه جنسی می‌فروشند و از طریق سایت‌هاشون بین مردم بدافزار توزیع می‌کنند.
نکته پایانی:
  • همیشه مراقب باشید که طراحی سایتتون رو به چه کسی می‌سپرید. کسی که مردم رو هک می‌کنه می‌تونه توی سورس سایت هم بک‌دور بذاره برای سواستفاده.[*]از میزبان سایت معتبر استفاده کنید. قیمت همیشه تعیین کننده نیست.[*]از وی‌پی‌ان‌های متفرقه استفاده نکنید. اکثر این‌هایی که فروش می‌ره مشکل دارند.[*]هیچ‌وقت وسوسه نشید از کسی که ادعا می‌کنه راحت دیگران رو هک می‌کنه، خرید کنید. یا دروغ می‌گه و پولتون رو از دست می‌دید و یا راست می‌گه و امنیت ندارید.
به‌روزرسانی اول:
یک پیام داشتم که دوست یکی از دوستان متاسفانه فریب این تبلیغ رو خورده و پرداخت رو انجام داده و همونطور که می‌شد حدس زد، بسته مورد ادعا رو دریافت نکرده.

به‌روزرسانی دوم:
بعد از نوشته من، آدرس سایت رو تغییر دادند و اینبار سایت فروش فیلم آموزشی (همون سایتی که بدافزار توزیع می‌کرد) هم تبلیغ می‌کنند.



به‌روزرسانی سوم:
دوستان امروز این پیام تبلیغی جدید رو گرفتند که از شماره ۹۰۳۴۷۳۶۳۵۸ ارسال شده:

این دامنه هم فقط در صورتیکه با مرورگر گوشی واردش بشی، به یک دامنه دیگه منتقل می‌شه. دامنه جدید telhtelegram.ml است که روی سرور با آدرس ۱۳۶.۲۴۳.۱۴۵.۲۳۲ قرار داره. ببینیم روی این سرور دیگه کدوم دامنه‌ها میزبانی می‌شه:

همونطور که می‌بینید همون سروریست که این مجموعه ازش سواستفاده می‌کردند. با تغییر ظاهر و تغییر دامنه سعی کرده‌اند که رد خودشون رو پاک کنند. ضمنا قیمت رو هم بالاتر بردند.

امضا کاربر


پنجشنبه 09 دی 1395 - 19:29
نقل قول این ارسال در پاسخ گزارش این ارسال به یک مدیر
تشکر شده: 4 کاربر از grand به خاطر این مطلب مفید تشکر کرده اند: libo & rooter & amiramir & mahdi-asghari &
grand
آفلاین



ارسال‌ها : 7820
عضویت: 25 /9 /1393
سن: 21
تعداد اخطار: 4
تشکرها : 4269
تشکر شده : 4841
پاسخ : 1 RE پشت‌پرده‌ی پیامک تبلیغ هک تلگرام حتما بخوانید»
منبع: https://scriptics.ir/blog/2016/05/%D9%BE%D8%B4%D8%AA%E2%80%8C%D9%BE%D8%B1%D8%AF%D9%87%E2%80%8C%DB%8C-%D9%BE%DB%8C%D8%A7%D9%85%DA%A9-%D8%AA%D8%A8%D9%84%DB%8C%D8%BA-%D9%87%DA%A9-%D8%AA%D9%84%DA%AF%D8%B1%D8%A7%D9%85/



امضا کاربر


پنجشنبه 09 دی 1395 - 19:32
نقل قول این ارسال در پاسخ گزارش این ارسال به یک مدیر
اطلاعیه جلسه مدیران اسکینک
gfxcenter
آفلاین



ارسال‌ها : 2013
عضویت: 26 /8 /1393
تعداد اخطار: 1
تشکرها : 1521
تشکر شده : 1962
پاسخ : 2 RE پشت‌پرده‌ی پیامک تبلیغ هک تلگرام حتما بخوانید»
کی حال داره اینو بخونه بقول ارسطو

فهوای کلام چی بود؟
پنجشنبه 09 دی 1395 - 20:48
نقل قول این ارسال در پاسخ گزارش این ارسال به یک مدیر
اطلاعیه جلسه مدیران اسکینک
grand
آفلاین



ارسال‌ها : 7820
عضویت: 25 /9 /1393
سن: 21
تعداد اخطار: 4
تشکرها : 4269
تشکر شده : 4841
پاسخ : 3 RE پشت‌پرده‌ی پیامک تبلیغ هک تلگرام حتما بخوانید»
نقل قول از ramincms
کی حال داره اینو بخونه بقول ارسطو

فهوای کلام چی بود؟
حال نداری بخونی ولی حال داری اسپم بدی عجب :|

امضا کاربر


پنجشنبه 09 دی 1395 - 20:54
نقل قول این ارسال در پاسخ گزارش این ارسال به یک مدیر
تشکر شده: 1 کاربر از grand به خاطر این مطلب مفید تشکر کرده اند: rooter /
اطلاعیه جلسه مدیران اسکینک
iranianfile
آفلاین



ارسال‌ها : 369
عضویت: 3 /6 /1395
شناسه یاهو: farzad6058
آی دی تلگرام:
تشکرها : 337
تشکر شده : 158
پاسخ : 4 RE پشت‌پرده‌ی پیامک تبلیغ هک تلگرام حتما بخوانید»
همشو خوندم
عالی بود

امضا کاربر
پیر میشم و تو در ذهن منی ...


جمعه 10 دی 1395 - 15:55
نقل قول این ارسال در پاسخ گزارش این ارسال به یک مدیر
اطلاعیه جلسه مدیران اسکینک





برای ارسال پاسخ ابتدا باید لوگین یا ثبت نام کنید.


X بستن تبلیغات
مسابقه شماره 1 انجمن اسکینک در سال 96 نمایندگی هاست خرید هاست