מה הייתה מטרת "מתקפת הסייבר" שהכילה קישור ל-versionupdate[.]xyz

אתמול נשלחו הודעות ממספר המזוהה כ-“OREFAlert”, ההודעה הכילה (מעבר לטעויות כתיב) אזהרה כי יש להיכנס למרחב מוגן ולהוריד עדכון של אפליקצית פיקוד העורף.

image

מדובר בהתחזות (SMS Spoofing), ומטרת ההודעה כנראה לגרום לאי נחת ואי סדר (שיבוש בעקבות מתקפת DDoS של אתר פיקוד העורף, עלול להקשות על אזרחים לקבל מידע רלוונטי ועדכני).

לפי מה שאני ראיתי בקוד של האתר, נטען קובץ JS שמבצע DoS (שיוביל ל-DDoS בעקבוץ התפוצה הגבוהה של המסרונים) על משאבים השייכים לפיקוד העורף ומעמיס על הדפדפן שפתח את העמוד. הקמפיין לא נראה מורכב מדי, ואף חלק מהפונקציות שקיימות ב-JS אינן בשימוש.

הדומיין נרשם ביום שנשלחו ההודעות, לעוד מידע ראו את התיבה המוסתרת.

פירוט רישום וכתובת אי פי
Domain Name: VERSIONUPDATE.XYZ
Registry Domain ID: D487022058-CNIC
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: https://namecheap.com
Updated Date: 2024-09-18T14:38:30.0Z
Creation Date: 2024-09-18T14:38:27.0Z
Registry Expiry Date: 2025-09-18T23:59:59.0Z
Registrar: Namecheap
Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant Organization: Privacy service provided by Withheld for Privacy ehf
Registrant State/Province: Capital Region
Registrant Country: IS
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Name Server: DNS1.REGISTRAR-SERVERS.COM
Name Server: DNS2.REGISTRAR-SERVERS.COM
DNSSEC: unsigned
Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.9854014545
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2024-09-18T22:26:21.0Z <<<

ועשה שימוש בכתובת 79.141.174.62 ששיכת לחברת אירוח בשוודיה

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '79.141.174.0 - 79.141.175.255'

% Abuse contact for '79.141.174.0 - 79.141.175.255' is 'abuse@hostzealot.com'

inetnum:        79.141.174.0 - 79.141.175.255
netname:        HZ-NA30
country:        SE
admin-c:        VD3206-RIPE
tech-c:         VD3206-RIPE
status:         ASSIGNED PA
mnt-by:         HZ-HOSTING-LTD
created:        2018-12-13T21:10:34Z
last-modified:  2018-12-13T21:10:34Z
source:         RIPE

person:         Vilko Damianov
address:        4000, Bulgaria, Plovdiv, 2 Lyuben Karavelov, unit 5
phone:          +35932571279
nic-hdl:        VD3206-RIPE
mnt-by:         HZ-HOSTING-LTD
created:        2016-11-28T15:25:07Z
last-modified:  2016-11-28T15:25:07Z
source:         RIPE

% Information related to '79.141.174.0/23AS42708'

route:          79.141.174.0/23
origin:         AS42708
mnt-by:         HZ-HOSTING-LTD
created:        2018-12-13T21:12:27Z
last-modified:  2018-12-13T21:12:27Z
source:         RIPE

% Information related to '79.141.174.0/23AS59711'

route:          79.141.174.0/23
origin:         AS59711
mnt-by:         HZ-HOSTING-LTD
created:        2023-04-18T16:22:22Z
last-modified:  2023-04-18T16:22:22Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.113.2 (ABERDEEN)

נכון לרגע כתיבת פוסט זה, האתר מבצע redirect לאתר פיקוד העורף, נראה כי הקמפיין הופסק.

אפשר להוריד את הקוד מקור של האתר (ססמה: skidiran):
versionupdate-xyz.zip (1.5 ק״ב)

לאיזו תיקיה ירד הקובץ? איזה קובץ זה? מה השם שלו?
נא לעזור בנוגע לאנדרואיד ובנוגע לאייפון.
האם יש צורך לנקות את כל הקוקיס והקבצים הזמניים בדפדפן?

בגרסה שאני ראיתי לא ירד שום קובץ למחשב.

נכון לעכשיו האתר נחסם על-ידי הרשם. אבל אם ניגשת לאתר בעבר, תוודא שהטאב שבו האתר נפתח סגור, מומלץ לאתחל את הדפדפן לאחר מכן.

לייק 1