Oooh ich liebe solche Rätsel. Hier eine kurze, unvollständige Analyse zur formentera.casa, die mit dem #IbizaUA, #Kurz und #Strache in Beziehung gebracht wird.

Fellow #OSINT Leute, gerne erweitern :)

Zur technischen Seite wurde in /r/Austria schon viel gesagt. User sigmoid10 hat sich Domain, Zertifikat und die Webseite allgemein angesehen. TLDR: Eine minimale WordPress Installation mit Anspielungen auf das Marvel Universum sowie Lenin und Trotzky. /2

reddit.com/r/Austria/comm…

Seit heute Morgen sind aber ein paar andere Dinge online, die ich mir nun ansehe. So sieht die Seite jetzt aus:

3 Fotos, das war's. Schaun wir mal. /3

Zuerst das Dreieck. Filename: immortus/bl.jpg. Der Alt-Text ist Binär:

00110000 00111001 00101110 00110000 00111001 00101110 00110010 00110000 00110010 00110000

Mit der großartigen Plattform CyberChef lässt sich das leicht auf das Datum "09.09.2020" entschlüsseln. /4

Das zweite Foto ist ein roter Kreis. Die Datei heißt alt%20text.jpg, ebenfalls im immortus Ordner. %20 ist ein Urlencodetes Leerzeichen. Im Quelltext, wenn wir den Alt-Text lesen, steht dann "square". Hmm. /5

Bild Nummer 3: Name: ftzgrld.png, mit einem Alt-Text, der Koordinaten enthält:

32.7787964, -96.808304

Führt auf Google Maps ins Zentrum von Dallas, Texas, US. Auch auf Street View nichts zu sehen – scheinen einfach die Koordinaten des Zentrums der Stadt zu sein. /6

So: Reverse Image Search. Bei blauem Dreieck und rotem Kreis eher nicht von Erfolg gekrönt. Die Doppelhelix führt zum Doppelhelix-Artikel von Wikipedia. Na eh.

/7

Eventuell etwas in den Bildern versteckt? Glaube eher nicht, da es die Ersteller in der 1. Version nicht geschafft haben, HTML-Tags richtig zu schließen, aber wer weiß, der Detektivmodus ist jetzt an 🕵️‍♀️ /8

https://twitter.com/haunschmidtech/status/1268851327553191939

Alle Bilddateien mit strings und xxd checken, nichts auffälliges.

Bild hier nur damits cool wirkt. /9

Wie von @g_blab und @pflanzenwald schon herausgefunden: Im roten Kreis versteckt sich ein Pferd. /10

Im blauen Dreieck finde ich mit dem Tool "stegsolve" auf Anhieb nichts versteckt. /11

In der Doppelhelix ebenfalls mit stegsolve nichts auf Anhieb zu finden – wobei es schon Unterschiede gibt zur "offiziellen" Doppelhelix-Bilddatei von Wikipedia /12

So, Zeit den Ansatz zu wechseln. Auf Reddit wurde rama-tut erwähnt, der Ordner in dem die Gifs aus Phase 1 waren.

In WordPress kann man mit dem Parameter "?author=ID" die Namen der User herausfinden, die es auf der Seite gibt. Hier also das Ergebnis für Author ID 1:

/13

Mich juckt es in den Fingern, einen WordPress Vulnerability Scanner auszupacken, der uns noch Plugins enumeriert. Da die Webseite aber auf der aktuellsten WordPress Version ist und das Standard-Theme verwendet, lasse ich das mal.

/14

Das war die Erstanalyse. Eines muss ich noch loswerden: User crimsdings hat auf Reddit eine extrem gute Analyse gemacht, wann der Link wo zuerst aufgetaucht ist.

Es scheint sich um eine Aktion aus dem QAnon / 4chan Dunstkreis zu handeln.

/15

reddit.com/r/Austria/comm…

Danke für's dabei sein, vielleicht habe ich später noch ein paar Ideen. In der Zwischenzeit freu ich mich über Diskussionen :)

/16

Vielleicht auch interessant für @ICCzermak

OOH Hat jemand eine Marvel Wortliste parat? Mit allen Charakteren, Orten und so weiter? Bin mir nicht sicher, ob das schon als Hacking zählt, aber ein wenig Ordnernamen enumerieren wär eine Idee (nachdem einige Anspielungen aus dem MU kommen). Ausprobieren auf eigene Gefahr./17

Und wir haben eine Auflösung: formentera.casa. Spannend war's, aber Morddrohungen? Wtf.