新型钓鱼诈骗：贪小便宜吃大亏！！

0x01 前言

前几天在微信朋友圈看到有人晒图并配有文案，只需扫码转发朋友圈就能免费领取小米微波炉的一个活动。

当时忘了截图了，但图片和文案基本与下图一致。

图片来源：武定警方公众号

扫码后会跳转到一个“小米客服”的聊天页面，点击免费领取后就会要你按要求转发他们的文案和图片。

0x02 分析过程

右上角查看链接时发现猫腻，并不是小米官方域名，而是某些G0V域名，找了几个案例都是G0V域名。

https://*****.qinghai.gov.cn/uploadfile/2022/0905/20220905130919799.xmlhttp://****.jl.gov.cn/u/cms/swcx/202209/08092103g0xe.html?Q3yw=

查询备案是某市政府机关域名，怀疑是漏洞被利用了，被上传了.html和.xml等文件。

.html、.xml这类文件中被嵌入了恶意的JS，只能用微信访问，用浏览器访问会跳转。

通过Burpsuite抓包修改UA头，这时可以看到包含的恶意JS链接为：http://liink.cn/dfjrj 。

这个域名的解析IP为：125.77.168.209，是福建泉州【电信】的一个IP地址，胆真大...。

恶意JS链接会识别你的平台是Windows还是Mac，如果都不是将会跳转到一个新的链接。

http://fanyi.youdao.com/server/webtrans/share?fileID=e01bceae5c8d439fbf192749774a83ee&salt=1662522510039&product=fanyiguan&entid=dfjrj&njmtnb=bc2209b4b19c99f2f00e817513a9e989

‍

这是有道翻译对外提供页面的服务，直接访问会出现以下提示，简单的一句话完事，官方都不带审核的，着实让人有些无语......。

但是这里进不去相关页面，因为有道翻译的第三方服务是直接解析的诈骗网页源码，里边还会判断平台，也会根据以下网址获取到的IP判断地区。

https://only-72244-222-188-46-25.nstool.netease.com/info.js

因为这里也判断了平台，所以只有通过微信扫码才会跳转到有道翻译这个链接进入“小米客服”聊天页面。

当你按要求转发完朋友圈后他会向你索要姓名，电话，住址等个人信息，最后再给你发一张快递单的截图来博取你的信任，很多不懂的人就会上当了。

本以为是他给你打印的单号糊弄你，没成想后面发现居然是网页生成的这快递单图片，真是零成本钓鱼。

而且他会引流到QQ群，注：必须进群后才能安排发货......，至于这个QQ群具体是用来干什么就不细研究了，肯定不是用来做啥“好”事的！！！

https://c.liink.cn/code.php?dir=KF 这个链接中有这样一段代码，看着像是经过反转的QQ群链接，应该还需要拼接下，没有再去验证了，有兴趣的可以看下。

{"data":{"url":"f3MfNeyQZTGfscQm1PYMVjgplw=k?rq/mq/nib-igc/moc.qq.mq//:sptthiICgjMpypNlmpOuo1iDGm8BYih131Sn1H8ReD77o=yeKhtua&DBrenz0=ecruos_edocrq_lanosrep&0=yfirevon&LY2WPSPhh4tou5yyXcCemJPT"},"code":0}

到这里整个分析过程就算结束了，估计后面就会出现电信诈骗了，例如：你的某某快递被拦截，需要交保证金才能放行，或者带你兼职刷单、投资理财等诈骗方式。

天下没有免费的午餐，不要想着天上掉馅饼！！！

天下没有免费的午餐，不要想着天上掉馅饼！！！

天下没有免费的午餐，不要想着天上掉馅饼！！！