Obtendo o URL de redirecionamento de um phishing

1

Eu recebi este email de um escravo hoje. É um phishing dizendo para baixar um arquivo neste URL:

link

Este URL redireciona para outro site e faz o download de um exe, provavelmente um servidor de algum cara inocente, ou não.

O navegador exibe essa outra URL por um breve período de tempo, não o suficiente para copiá-la. Quero saber qual URL é essa, para denunciá-la à empresa de hospedagem e ao proprietário do site.

Existe algum comando de terminal que eu possa digitar para capturar a URL de redirecionamento?

Eu tentei wget sem sucesso.

obrigado

    
por SpaceDog 12.01.2015 / 14:44

1 resposta

5

Verifica os agentes do usuário, aparentemente:

$ curl -LI 'http://mes.org.my/home/tmp/comprovante/index1.php?Comprovante_Transferencia.pdf'
HTTP/1.1 406 Not Acceptable
Date: Mon, 12 Jan 2015 13:45:49 GMT
Server: Apache/2.2.23
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive

$ curl -I 'http://mes.org.my/home/tmp/comprovante/index1.php?Comprovante_Transferencia.pdf' -A 'Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36'
HTTP/1.1 302 Moved Temporarily
Date: Mon, 12 Jan 2015 13:46:56 GMT
Server: Apache/2.2.23
X-Powered-By: PHP/5.3.18
Location: index.htm?id=63E9CO8D8ZSBP6ORWWFQSD63K2UV1LAFCBKRDODLT4SFGKSMAHCBH6Y4XNCR8OZR4LOMDWM0IP6Y9E4IRVNS2KXOA27FDDBCGJES325Q42J61RNSPDL18OD9VHS0XXQRSCJ66L73688MGQWMJGU8UTUUSGLNM5SNAS81
Content-Type: text/html
Connection: keep-alive

$ curl -LI 'http://mes.org.my/home/tmp/comprovante/index1.php?Comprovante_Transferencia.pdf' -A 'Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36'
HTTP/1.1 302 Moved Temporarily
Date: Mon, 12 Jan 2015 13:47:32 GMT
Server: Apache/2.2.23
X-Powered-By: PHP/5.3.18
Location: index.htm?id=UT35116XRN6W7OR55AX3JP3Q3CHM02Y1ED1DITBJZPPB8ZCF7X4M2QPELG7WM76H0HV4UWFHD7COW8ANRNPMG5X7MGXQIHXPAWRAUFH3Y1G859EFV5UEVXA3KKKAAO7JWVS1OA7TJ0SL4IN4J08RIJREAL3KTTG9Y083
Content-Type: text/html
Connection: keep-alive

HTTP/1.1 200 OK
Date: Mon, 12 Jan 2015 13:47:33 GMT
Server: Apache/2.2.23
Last-Modified: Fri, 09 Jan 2015 21:14:52 GMT
ETag: "1728314-93-50c3ea5c1cb00"
Accept-Ranges: bytes
Content-Length: 147
Content-Type: text/html
Connection: keep-alive

$ curl -L 'http://mes.org.my/home/tmp/comprovante/index1.php?Comprovante_Transferencia.pdf' -A 'Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36'
<meta http-equiv="refresh" content="1; url=http://www.linabtechnologies.net/xmlrpc/I/comprovante/deposito/Comprovante_Transferencia_000053554.zip">%       

Parece um arquivo zip.

    
por 12.01.2015 / 14:51

Tags