代码改变世界

跨境电商那些黑号钓鱼号的来源套路分析

2021-09-21 22:15  狼人:-)  阅读(2158)  评论(0编辑  收藏  举报

亚马逊黑号,可以用来用来做刷单,FB黑号可以用来打广告,发POST贴文等等,这些是比较大众的用法,当人不排除用来用这些号做了极致。

 

既然有这个需求,那么相应就有扫号,爆号的环节,整个产业链呢,有是 一环扣一环。

 

读下去,小白可能会白眼吐唾沫了,先晒图为敬!!

 

 

图片

 

 

一般钓鱼号的来源

图片

鉴于老农技术停留在小白的阶段,这里按我的分析,这些号主要来源有以下两个

1  爆库后撞号,去用获取到的账号和密码,去用扫号器去测试看看是否对应账号邮箱密码是否在亚马逊和FB等各大平台也是通用的。

 

图片

 

比如之类,那么这类软件哪里有呢?

 

多谷歌,多百度

图片

图片

 

 

 

这些扫号器的关键词就是 平台名称+ account checker

 

比如亚马逊 amazon account checker

比如paypal  paypal account checker

比如facebook   facebook account checker

 

还记得以前的推送么

 

图片

对不起,我又来破坏卖号市场了!解密亚马逊黑号来源-洗号流程

 

如果以上相对简单,那么还有一种比较有效的有技术性的获取方式,当然,小白肯定玩不起,像我也玩的很艰难,比不上大神一天钓个几百几千,为木马方式的玩法。

 

用HACK的方式玩钓鱼

 

图片

 

我做了个简单的DEMO,假装自己是只鸡(肉鸡),然后中了木马,被人获取浏览器各种记录的样子

 

图片

 

可以看到,在火绒也不报警的情况下,获取到了浏览器的各种网站COOKIE,还有默认记录的账号和密码

 

以上,就是一个简单的DEMO,然后我们来分析下获取的方式。

 

样本会发送知识星球或者论坛内部。

 

                说说这种操作的原理

 

首先,我们要明确一个,我们是窃取老外电脑上面的各种浏览器记录和账号密码,这样才能获取到COOKIE和一些敏感的东西,那么,就得知道,浏览器的各种保持这些信息的文件位置。

 

 

1、IE浏览器Cookie数据位于:%APPDATA%\Microsoft\Windows\Cookies\ 目录中的xxx.txt文件 (里面可能有很多个.txt Cookie文件)

如: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\administrator@live.letv.txt

 

2、Firefox的Cookie数据位于:%APPDATA%\Mozilla\Firefox\Profiles\ 目录中的xxx.default目录,名为cookies.sqlite的文件。

如:C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ji4grfex.default\cookies.sqlite

 

3、Chrome的Cookie数据位于:%LOCALAPPDATA%\Google\Chrome\User Data\Default\ 目录中,名为Cookies的文件。

 

相关文章,已经发在:

https://bbs.affadsense.com/t/1403.html

 

操作思路就是读取这些文件,然后提取数据在POST发包到我们自己的接口上做截取。

 

当然,更直接的办法就是直接把这些文件打包了往自己的接口上面传就行了。

比如早期,我针对黑阔,那时候菜刀比较流行,就写了个马,专门偷菜刀的数据库文件

 

图片

 

不扯远了。我们继续说这个。

 

图片

github的宝箱里面查看别人的原理

图片

 

 

GITHUB是什么呢?程序员眼里的同性交友社区。

图片

 

这里,我以stealerlib为例,我们走一下他的流程

图片

 

入口调用是这个,然后分别读取了主流浏览器的一些敏感信息,

 

我们看看是怎么读取法

 

火狐的敏感信息读取方式

 

账号的读取方式:

图片

代码跟进去后可以知道,是读取文件目录下的signons.sqlite和logins.json

然后用SQLITE读取

SELECT encryptedUsername, encryptedPassword, hostname FROM moz_logins

 

Cookie的读取方式:

图片

读取cookies.sqlite的文件,然后读取各种cookie

 

Chrome的读取方式

 

 

图片

 

可以看到,老外这个已经调用了Google,Opera,Vivaldi,Torch,Comodo,Orbitum,Xpom,Kometa,Amigon,Nichrome,BraveSoftware,Yandex

这些国外主流的或者根据chrome开源浏览器进行二次开发的软件

 

当然,我们也可以把360,QQ,极速浏览器,等国内各种基于chrome的浏览器的路径也改造进去

 

读取后,也是SQLITE的形式

图片

从logins里面读取出存储的账号密码

 

SELECT password_value,username_value,origin_url FROM logins

 

Cookie的读取方式:

图片

一样,从对应的COOKIE文件执行sqlite读取

 

SELECT name,encrypted_value,host_key FROM cookies

当然,这里涉及到一个解密

图片

 

以上

 

当然,自己开发,也可以找下思路。

图片

 

 

 

以上,是获取思路。

图片

 

一脸懵逼了是不是???

图片

 

然后就是结合木马了!!!

 

 

木马结合获取用户数据

 

图片

编译一下,然后本机测试

图片

然后文件夹内找COOKIE

 

图片

完美~~~~

 

此款软件GITHUB地址:https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

 

软件需要二次改造,不然COOKIE密码获取不怎么好用。