0x00 - Introduction
Cocoland.fr est un pseudo site de "t'chat", plus ou moins bien fréquenté. Un collègue a reçu dans sa boîte mail un message l'invitant à vérifier qui l'avait bloqué, patati patata, le discours habituels des phishers de comptes MSN. Je me suis amusé à regarder comment a été codé le site réalisant le phishing.
0x01 - Bon et alors ?
Après analyse du code, il se trouve que lorsque l'on envoie via le formulaire de cocoland.fr son identifiant et son mot de passe, celui est transmis à un serveur secondaire, en suivant ce schéma: http://91.121.170.97:1243/login*pass.
Suit ensuite une phase de traitement, réalisée par le serveur, surveillée par des requêtes régulières sur l'url http://91.121.170.97:1243/az. Cette url retourne un code javascript, qui est ensuite interprété par le navigateur, appelant une fonction nommée process1() qui affiche un message destiné à l'utilisateur. N'importe qui peut dès lors s'amuser à pourrir la base de données du phisher, vu qu'il n'y a aucun bridage ou système anti-flood.
Une fois le compte traité par le serveur, celui-ci retourne une page contenant un fichier stocké dans un répertoire de dépot, identifié grâce à une erreur php (il code vraiment mal, le type qui a monté le site ^^), et contenant notamment la liste des contacts. Ce fichier est aussi disponible directement via le serveur web, en suivant ce format: http://%91.121.170.97/msn/depot/machin@msnchose.com.000.txt.
Il est donc facile de vérifier si une adresse a été piratée par cocoland.fr, et de mesurer sa propagation, car une fois le compte compromis le phisher s'en sert afin de propager le phishing. C'est donc ce qui a motivé la conception d'un petit outil, dont je livre le code source dans cet article. Bon, c'est loin d'être parfait, c'est pas multithread, mais ca fonctionne. Ce petit outil vous indiquera si votre compte est piraté, et si l'un de vos contacts s'est fait avoir par la même occasion, et si l'un des contacts de vos contacts s'est fait aussi avoir, récursivement.
Un exemple d'utilisation:
[>] Cocoland.fr - msn "stolen account" checker [i] Checking account amouxxxxxxx59@hotmail.fr ... [i] Your account has been stolen by Cocoland [i] List of your contacts infected by Cocoland: - herxxxxe1@hotmail.fr - kxxxxel@msn.com - sxxxxra01975@hotmail.com - hxxxxadou@hotmail.com - sxxxxd59@hotmail.fr - axxxx59@hotmail.fr - mxxxxaine8484@hotmail.fr - mxxxx_latifa@hotmail.fr - mxxxxn@hotmail.fr
0x03 - Conclusion
En espérant que ça permette aux personnes qui sont tombées dans le panneau de vérifier si cocoland les a ownés ... Pour les plus curieux, je pense que vous saurez où fouiller pour trouver d'autres infos croustillantes concernant les comptes présents dans le répertoire de dépôt.
0x04 - Annexe: Le tool de oufz0r
