MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.2.10

Phishing database III

Entidades Financieras & bancarias
Canada Trusth (http://www.tdcanadatrust.com/)
http://www-tdcanadatrust-com.epage.ru/td-bank-index.html
Citigroup (http://www.citigroup.com)
http://www.alanmetauro.com/home/online.citibank.com/US/JPS/portal/Index.do.htm?F6=1&F7=IB&F21=IB&F22=IB&REQUEST=ClientSignin&LANGUAGE=ENGLISH
CUA - Credit Union Australia (http://www.cua.com.au)
http://www.colconkproducts.com/pub/your-account-is-locked-cua-com-au/
http://173-11-85-81-sfba.hfc.comcastbusiness.net/images/webbanker.cua.com.au/webbanker/CUA/
UniCredit Banca (http://www.unicreditbanca.it)
http://161.58.125.218/uc/index.html
Grupo Banca Carige (http://www.gruppocarige.it/ws/gruppo/jsp/index.jsp)
http://www.iadr.or.kr/bbs/data/gruppocarige/it/grp/ws/gruppo/jsp/banca_carige/index.html
Grupo Banca Popolare Di Bari
http://www.georgiakoreans.com/bbs/data/bpr/index.html
Banca Cesare Ponti (http://www.gruppocarige.it/grp/bponti/html/ita/index.htm)
http://www.iadr.or.kr/bbs/data/gruppocarige/it/grp/ws/gruppo/jsp/banca_cesare_ponti/index.html
Banca Del Monte Di Luccia (http://www.gruppocarige.it/ws/bmlucca/jsp/index.jsp)
http://www.iadr.or.kr/bbs/data/gruppocarige/it/grp/ws/gruppo/jsp/banca_del_monte_di_lucca/index.html
CRS - Cassa di Risparmio di Savona (http://www.gruppocarige.it/ws/carisa/jsp/index.jsp)
http://www.iadr.or.kr/bbs/data/gruppocarige/it/grp/ws/gruppo/jsp/cassa_di_risparmio_di_savona/index.html
Cassa di Risparmio di Carrara (http://www.gruppocarige.it/ws/crcarrara/jsp/index.jsp)
http://www.iadr.or.kr/bbs/data/gruppocarige/it/grp/ws/gruppo/jsp/cassa_di_risparmio_di_carrara/index.html
Poste Italiane (http://www.poste.it)
http://posteitalianeonlinebpolcarteprestafgfdf.pcriot.com/posteitaliane/bpol/cartepre/formslogin.aspx.php?TYPE=33554433&REALMOID=06-b5208d98-1e41-108b-b247-8392a717ff3e&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME
http://www.ynzal.com/catalog/images/bpol/bancoposta/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid
http://www.yelin.ru/wm/bancopostaonline.poste.it/bpol/CARTEPRE/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid
Santander (www.santander.com)
http://slarrauri.com/tusitioweb/demo/BentoBox/modules/Logon.html
ABSA (http://www.absa.co.za)
http://markostoreltd.com/account.log/index.php
HSBC (http://www.hsbc.com)
http://worldviba.org/hboard3/bbs/indexx/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.ss4net.com/flash/IBlogin.html
http://www.tricitypt.com/photos/pediatrics/hsbcsecure/IBlogin.html
http://in2pool.com/Sources/.x/IBlogin.html
http://erethizon.net/pomocne/hibernace/IBlogin.php
http://cs.kku.ac.kr/data/file/alumnus/hsbconline/HSBC/index.php
http://etechsol.pk/cp/IBlogin.html
http://www.fsk-squad.eu/stats/IBlogin.html
http://www.goldenstwarriors.com/boxes/IBlogin.html
http://singaporeluggagestorage.info/modules/foles/kmg/www.hsbc.co.uk/CAM10-jsessionid=000026MQ7KnXUxsKmiYKszFUkGJ12c58ti63.htm

En el dominio singaporeluggagestorage.info se subieron varios paquetes de phishing a través de una shell. Además del phishing pack a HSBC, se encontraron otros a CIBS y ING Direct.

ING Direct (http://www.ing.com)
http://singaporeluggagestorage.info/modules/foles/mijn.ing.htm
Lloyds TSB (http://www.lloydstsb.com)
http://cjuckett.com/gallery/include/login/online.lloydstsb.co.uk/online.lloydstsb.co.uk/online.lloydstsb.co.uk/online.lloydstsb.co.uk/customer.ibc/
Wachovia (http://www.wachovia.com)
http://202.111.173.205/.../wachovia/AuthService.php?action=presentLogin&url=https://onlineservices.wachovia.com/NASApp/NavApp/Titanium?action=returnHome
Bank of America (http://www.bankofamerica.com)
http://210.116.103.118/~kardex/gnuboard4/bbs/Languages/
http://ahuarqalliance.com/~ahuarqal/Pringles/www.bankofamerica.com/bofa-update/bofa-update/bofa/
J.P.Morgan (http://www.jpmorgan.com)
http://martindlk.ie/pdf_files/10/c/ch.htm?customerid=&co_partnerId=2&siteid=0&ru=&PageName=login_run&pp=pass&pageType=708XeMWZllWXS3AlBX+VShqAhQRfhgTDrf&co_partnerId=2&siteid=0&ru=&pp=&pageType=708&MfcISAPICommand=ConfirmRegistration&708XeMWZllWXS3AlBXVShqAhQRfhgTDrfQRfhgTDrfA
egg (http://www.egg.com)
http://www.extv.co.kr/data/file/s_tag08/819,00.html
http://www.wrpt.us/fireworks/Egg-Login.htm
InterSwitch (http://www.interswitchng.com)
http://2009_securityupdate1.t35.com/Nigeria_interSwitch.htm
MoneyGram (http://www.moneygram.com)
http://121.11.253.235/.cgi-bin/mg/MoneyGram/eMoneyTransfer/
Discover (http://www.discovercard.com)
https://www.discovercard.com/cardmembersvcs/loginlogout/app/ac_main
VISA (http://www.visa.com)
http://intersecure.fr/security/verified/cards/unlock/ssl/Deutschland/

Comercio electrónico
Amazon (http://www.amazon.com) http://digiplan.nl/img/xzf5465x6z4f56xz4fx5z64f5645z4x5z64f556xf4z56x4z5f45z6x4f56f4z5xf45zx64f/cxz4564z56z4z6c54cx54xc545c46z54c4zxzxfx5fz4z65f454xz5f45zx45xz64f/
PayPal (https://www.paypal.com)
http://www.revenueirish.net/~gustavo/mongis/webscrcmd=_login-submit&dispatch=5885d80a13c0db1fc53a056acd1538879f614231735d88db02692aa5ce177197.php
http://8shagyasser.com/.cc/pp/us/
http://www.revenueirish.net/~gustavo/mongis/index4.php
http://allmedwholesale.com/cache/paypal/index.htm
http://www.skizo123.com/update/
http://francomm.org/worldsecure/
http://carinethomas10.net/www.PayPal.Com22/webscrcmd=_login-done&login_access=1190737782.htm
Capitalone (http://www.capitalone.com)
http://allmedwholesale.com/cache/c/e/capitalOne/login.aspx.htm

Servicios gubernamentales
IRS - Internal Revenue Service (www.irs.gov)
http://www.budgetcirkus.dk/irs.gov/IRS/irs-refund-account.html
http://195.140.132.196/~dan10417/irs.gov/IRS/irs-refund-account.html
HMRC - HM Revenue & Customs (http://www.hmrc.gov.uk)
http://www.hmrc.ukonlinerefund.com/refund.php?item=1928381240348811

Juegos en línea
World of Warcraft (http://www.worldofwarcraft.com)
http://www.worldofwarcraft-account-instrcationcheck.com/login.asp?app=wam&ref=https://www.worldofwarcraft.com/account/&eor=0&app=bam
http://www.review-billing-worldofwarcraft.com/
http://nm-jk-gh.worldofwarcraftftc.com/
http://check.worldofwarcraftfts.com/
http://account.worldofwarcraftfta.com/

Zynga Poker (http://www.zynga.com)
http://admin_zynga_security.t35.com/
http://administrator-poker.t35.com/security/account_verification/

Redes sociales
Hi5 (http://www.hi5.com)
http://aipoise.t35.com/frienddisplayHomePage.do.html
MySpace (http://www.myspace.com)
http://210.51.184.12/myspace.com&session_timed_out.php
Orkut (http://www.orkut.com)
http://orkutfunky2008.50webs.com/index.HTML
http://orkutf.50webs.com/Orkut/
http://lanhousemv.t35.com/
http://abhijaan.justfree.com/2009.html
http://guuhrox.galeon.com/
Facebook (http://www.facebook.com)
http://admin_tools_zynga.t35.com/
http://admin_zynga.t35.com/
http://admin_zynga_poker.t35.com/
http://admin_zyngapokergames.t35.com/
http://adminbanned.t35.com/Zinga.Terms/
http://adminfacebookz.t35.com/Facebook.htm
http://adminforu.t35.com/facebook/facebook.php
http://ak-sdk-fbsdk-conf.t35.com/
http://funnymoneygame.t35.com/
http://facebooknewlog.t35.com/Facebook.php
http://apps-facebook-poker.t35.com/
http://newfoundsite.t35.com/facebook/Facebook.htm
Xbox Live (http://www.xbox.com)
http://anythingmicrosoft.t35.com/

WebMail
Yahoo (http://www.yahoo.com)
https://marketingsolutions.login.yahoo.com/adui/signin/displaySignin.do?d=U2FsdGVkX19cY56F3r1QvfGtU0XVsveCoTYWNnRpvZ4bILechNLfZTHvHIOFjqsAa77VmsuwGDHOvNJSa0FuwZgPFc6s8evu39eeQ.zeRGM1OZ4zVBg-&m=0&l=en_US&=
Windows Live (http://login.live.com)
http://account_validation.t35.com/Windows%20live.php
http://alw7dany.tripod.com/hotmail.htm
http://wiwaxiaa.tripod.com/
http://girl.q8sex.tripod.com/hotmail/login.srf.htm
AOL Mail (http://www.webmail.aol.com)
http://aolz.t35.com/Webmail/
http://aoltosbillingcenter.t35.com/
http://aolsn.t35.com/
AIM Express (http://www.aim.com/aimexpress.adp)
http://aoldashboard02.t35.com/aimexpress.html

Alojamiento
Rapidshare (http://rapidshare.com)
http://2993amit.justfree.com/Rapidshare/files.php
http://www.rapidfree.za.pl/#200
http://easy.justfree.com/index1.php
http://willgax.justfree.com/rp/indir.php
http://babalar2.justfree.com/rp/indir.php
http://rsmany.t35.com/premiumzone.php
http://rapid24.blackapplehost.com/files.php
http://rapid24.blackapplehost.com/logon.php
http://www.phish.yoyo.pl/index.php
http://hotfilm.xaa.pl/rs/index.php
http://chronoshon.t35.com/files.php
Hotfile (http://www.hotfile.com)
http://hotfiles.justfree.com/?f=295/dl/4629684/01bd28f/Boob-E_CD1_chunk_1.rar.html
http://zsah.justfree.com/hotfile/index.php
http://indigo2.justfree.com/

Información relacionada
Phishing database II
Phishing database I
Scam de ZeuS sobre IRS continúa siendo activamente explotado
Nueva campaña de phishing de ZeuS contra Google y Blogger
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Disección de un kit fraudulento. Wachovia phishing attack

Jorge Mieres

Ver más

24.2.10

Nueva campaña de phishing de ZeuS contra Google y Blogger

Una nueva estrategia de phishing propuesta por ZeuS se encuentra activa. Anteriormente habíamos mencionado que las entidades de confianza utilizadas como parte del plan de infección y fraude de ZeuS involucran al IRS de EEUU, VISA y Facebook.

Ahora la cobertura centra sus esfuerzos en utilizar el nombre de Google y Blogger. Algunos de los dominios utilizados son:

http://www.google.com/update/VE.php?service=blogger

http://www.google.com/update/VE.php --> annieliu@hotpop.com
http://www.google.com/update/VE.php --> rob@boringbutgood.com
http://www.google.com/update/VE.php --> uin@vangenechten.com
http://www.google.com/update/VE.php --> julian@beweb.com
http://www.google.com/update/VE.php --> lwfcsk@khainata.com
http://www.google.com/update/VE.php --> jorgec@interlinkpr.com
http://www.google.com/update/VE.php --> hquisbert@arcobol.com

http://www.google.com.zobv.kr/update/VE.php
http://www.google.com.desr.kr
http://www.google.com.desr.or.kr
http://www.google.com.erdcq.kr
http://www.google.com.erdcd.kr
http://www.google.com.erdca.co.kr
http://www.google.com.dese.ne.kr
http://www.google.com.desv.co.kr
http://www.google.com.erdcu.co.kr
http://www.google.com.esuk.ne.kr
http://www.google.com.esus.co.kr
http://www.google.com.erdce.kr

http://www.blogger.com.desv.kr/update/VE.php --> gogo@beweb.com
http://www.blogger.com/update/VE.php
http://www.blogger.com/update/VE.php --> rob@boringbutgood.com
http://www.blogger.com/update/VE.php --> teasider@phreaker.net
http://www.blogger.com/update/VE.php --> ede@interlinkpr.com
http://www.blogger.com/update/VE.php --> r.thijs@rubber-resources.com
http://www.blogger.com/update/VE.php --> a.hendriks@rubber-resources.com
http://www.blogger.com/update/VE.php --> murdockrainwave1997@rubber-resources.com

http://www.blogger.com.esut.ne.kr
http://www.blogger.com.esus.ne.kr
http://www.blogger.com.erdcu.ne.kr
http://www.blogger.com.esuk.ne.kr
http://www.blogger.com.erdcu.or.kr
http://www.blogger.com.zobq.or.kr
http://www.blogger.com.desx.or.kr
http://www.blogger.com.erdca.co.kr
http://www.blogger.com.zobq.co.kr
http://www.blogger.com.esuk.kr

Las campañas de phishing bajo una nomenclatura similar a estas (y las anteriores) dejan en evidencia que la cobertura que pretenden tomar los creadores de ZeuS es bastante amplia, y seguramente en los próximos días aparecen otras campañas fraudulentas similares a la presente.

Información relacionada
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Scam de ZeuS sobre IRS continúa siendo activamente explotado
ZeuS y el robo de información sensible
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más

22.2.10

Campaña de phishing a Facebook y VISA propuesta por ZeuS

Actualización 21.02.2010
Más dominios activos que forman parte de la misma campaña de phishing contra usuarios de VISA. Los dominios son:

reports.cforms.visa.com.desz.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.desz.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.desz.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.ne.kr/secureapps/


Original 20.02.2010
ZeuS posee un repertorio bastante grande con estrategias orientadas a propuestas de Scam para diseminar su troyano y para realizar ataques de phishing contra muchas compañías y entidades bancarias muy conocidas.

Recientemente hemos advertido sobre una campaña de Scam empleando como cobertura al IRS, que se viene generando desde hace mucho tiempo pero que cada cierto tiempo vuelve a activarse; constituyendo un ciclo delictivo que busca diseminar ZeuS y que se cumple para con todas sus estrategias.

Ahora, nuevamente vuelve a activarse una campaña de phishing que involucra a Facebook.

Los dominios involucrados son:

facebook.com.edase.or.kr/usersdirectory/LoginFacebook.php
facebook.com.ersm.kr/usersdirectory/LoginFacebook.php
facebook.com.edasn.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.desz.or.kr/usersdirectory/LoginFacebook.php
facebook.com.desz.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.ersq.kr/usersdirectory/LoginFacebook.php
facebook.com.edase.co.kr/usersdirectory/LoginFacebook.php
facebook.com.edasq.kr/usersdirectory/LoginFacebook.php
facebook.com.ersw.co.kr/usersdirectory/LoginFacebook.php
facebook.com.ersa.or.kr/usersdirectory/LoginFacebook.php
facebook.com.edasn.kr/usersdirectory/LoginFacebook.php
facebook.com.edasa.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.ersm.or.kr/usersdirectory/LoginFacebook.php
facebook.com.edasq.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.edasn.or.kr/usersdirectory/LoginFacebook.php
facebook.com.ersa.or.kr/usersdirectory/LoginFacebook.php

Al igual que otras campañas, el código fuente de la página posee inyectada una etiqueta iframe, que en este caso redirecciona hacia hxxp://109.95.114.251/us01d/in.php.

Esta página (in.php) redireccionan hacia:

109.95.114.251/us01d/load.php
109.95.114.251/us01d/file.exe
109.95.114.251/us01d/xd/pdf.pdf
109.95.114.251/us01d/xd/sNode.php

Desde los cuales se intenta explotar algunos exploits: CVE-2007-5659, CVE-2008-2992, CVE-2008-0015 y CVE-2009-0927.

Este servidor también se encuentra sirviendo actualmente otra campaña masiva, pero diseminando el troyano de ZeuS a través de una Scam al IRS. En este caso, solo cambia la carpeta donde se aloja el paquete, a saber: hxxp://109.95.114.251/usa50/in.php

Como vemos, ZeuS no se detiene en su carrera delictiva. De hecho, también se encuentran activas otras campañas más, como por ejemplo, las que involucran un ataque de phishing escudándose bajo el logo de VISA.

En este otro caso, los dominios utilizados son:

reports.cforms.visa.com.edasa.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersq.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersq.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasq.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersw.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersa.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasn.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasa.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasq.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasq.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasa.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasa.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasn.or.kr/secureapps/vdir/cholderform.php

Información relacionada
Scam de ZeuS sobre IRS continúa siendo activamente explotado
ZeuS y el robo de información sensible
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más

16.2.10

Phishing database II

HSBC
http://www.silverstoneincense.com.au/IBlogin.html
http://www.buyitdirect.co.nz/images/indexx/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://delthelboi.net/COsutmer/COsutmer/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://woorizip1004.net/zboard/icon/IBlogin.html
http://www.ceipmiraflores.com/inc/ceip/IBlogin.html
http://www.lbirelandftp.com/e-card/IBlogin.html
http://www.galilee.cc/zeroboard/data/rr/CAM10.php?idv_cmd=idv.Logoff&nextPage=IDV_CAM10_AUTHENTICATION=2178611a6f5b6d7d722eacaa9c0a1f52LogonBy=Connect2178611a6f5b6d7d722eacaa9c0a1f52
http://www.officeresourcegroup.com/_analog/hsbc.co.uk/IBlogin.html
http://host24-128-static.39-79-b.business.telecomitalia.it/.personal/www.HSBC.Co.Uk/1/2/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.officeresourcegroup.com/_analog/hsbc.co.uk/1/2/IBlogin.html
http://www.sinhvienqb.com/gallery/images/admin/IBlogin.html
http://egg-inter.com/upload/www.hsbc.co.uk/1/IBlogin.html

Citi
http://www.naturalcurves.com//wp-content/themes/blueberry-boat/online-citi-cards/citi%20card/citi%20card/update.html

CajaMadrid
http://oi-cajamadrid.com.es/CajaMadrid/oi/pt_oi/Login/

Orange
http://92.243.8.56/Orange/info-online-verification.php
http://adminpanel.net/xcart/images/cartpictures/http-id.orange.fr-auth_user-bin-authNuser.cgidate=1266009664=skey=3a347076d2326ec771ebe84a8de131fc=service=communiquer=url=http:webmail1eb.orange.fr*webmail*fr_FR/

Visa
http://alerts.cforms.visa.com.rep021.kr/secureapps/vdir/cholderform.php
http://92.243.8.56/VerifiedByVisa/visa/error_info.php?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0ef1b64e562942814a64d80bf24862819bf1b64e562942814a64d80bf24862819b?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0ef1b64e562942814a64d80bf24862819bf1b64e562942814a64d80bf24862819b

MasterCard
http://www.roxanalatorre.com/panel/mastercard/

Kijiji
http://kijiji-ca.wz.cz/cSignInrups-ConfirmAccount-ruq-re-direct&Dwws.html

PayPal
http://74.86.158.3/~bigbigca/uc/Activation/paypal/
http://french-kiss.org/~o103594/paypal.com/wwwpaypalcompaypalloginukusupdateinfo/webscr.php?cmd=_login-run&dispatch=2e310e6fd3c468fe3657669af990d4912e310e6fd3c468fe3657669af990d491
http://exorh.com/~o103594/paypal.com/wwwpaypalcompaypalloginukusupdateinfo/webscr.php?cmd=_login-run&dispatch=2e310e6fd3c468fe3657669af990d4912e310e6fd3c468fe3657669af990d491
http://calvarychapelabuja.com/users/barbara/account/?cmd=_login-run
http://adcomphelp.com/tutorials/cam/paypal.com/fr/cmd=_registration-run/webscr.php?cmd=_login-run&dispatch=9cf470a1ba43eb481569e296a16bd15d9cf470a1ba43eb481569e296a16bd15d
http://aempresarial.com/admin/www.PayPal.Com22/webscrcmd=_login-done&login_access=1190737782.htm
http://paypol.tk/fr/
http://is250.internetdsl.tpnet.pl/FRS/
http://office.supportacct.operaunite.com/webserver/content/?cmd=_login-run&session-redirect=noCookie
http://www.yoville.justfree.com/
http://www.anassoft.net/webscr.php
http://paypal-ag.de/see/
http://www.coinentertainment.com/images/www.paypal.com/management/financial/login.html
http://paypal-uk.webcindario.com/

eBay
http://rahasiabisnis21.com/_space/apache_module.php?customerid=hemi2u2@yahoo.com&co_partnerId=2&siteid=0&ru=&PageName=login_run&pp=pass&pageType=signin.ebay.com.ws.eBayISAPI.dll.fxHVPoQCOORAlDQoKlPMCP
http://webproxy.go2myspace.com/sell.ebay.ie/ws/eBayISAPI.dll?SellItem
http://www.vietwebdisk.com/signin.ebay.com/ws/eBayISAPI.dll?SignIn&ru=www.ebay.com
http://cosmo.genusis.com/images/icons/eee/login.html#ws/eBayISAPI.dll?SignIn&ru=http://www.ebay.com/
http://sangelecaiolor.czechian.net/polaris-rzr-W0QQitemZ250328176800QQcmdZViewItemQQptZ-logan-hash0item3a48b8d8a00_trksidsp32860c0023/z.php
http://personal-pontoon-ebay.xf.cz/2006%20Lowe%20SUNCRUISER%20BIMINI/ebaymotorsW0QQitemZ180405328696QQcmdZViewItemQQptZboat_pontoonhash=item2a00fedb38&_trksid=p4/index.php
http://www.normans.dk/catalog/images/AllinformationfromWHOISserviceisprovided.html

MegaUpload
http://www.nakudashi.blors.com/Akina/?active.to=http://www.megaupload.com/?c=login&next=d%3DPV1ZQAIJ
http://www.sweetlife.iamspace.com/jav/asia.htm
http://www.karina.blors.com/Sasaki/Studio.htm?to.url=http://www.megaupload.com/?d=RZXZ8YZ5
http://www.nakudashi.blors.com/Akina/
http://www.cocomisakura.blors.com/Sakura/cool.htm?url.active=http://www.megaupload.com/?d=HWDZS4OM
http://www.shokoakiya.blors.com/Akiyama/asiacool.htm?url.active=http://www.megaupload.com/?d=5Y6402AH
http://www.ramunagasuki.blors.com/asia/

Rapidshare

http://raapidshare.ugu.pl/premiumzone.php
http://rapidshare-premium2011.tk/
http://rs786.t35.com/logon.php
http://rapidshare-premium2011.tk/

Facebook
http://www.rep021.kr/usersdirectory/LoginFacebook.php

YouTube
http://youtube-view-all.tk/


Poste italiane
http://gerfdsafsd.pochta.ru/posste.html
http://vaguematch.com/ioncube/_/https/www.poste.it/bancoposta/online/_private/bpol/CARTEPRE/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
http://www.postevita.it/postevitaTFR.fcc?TYPE=33554433&REALMOID=06-bed2d688-fca1-10a2-bc8e-8392a717ff3e&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$ZEj9fNrjJTQ1UbgR9hbQoqbSyCYN9lBONkWfqG8%2fz9C7F9%2bG8tRBmA%3d%3d&TARGET=$SM$http%3a%2f%2fwww.postevita.it%3a85%2fgestionetfr%2findex.shtml

CartaSi
http://aviso-utente.rbcmail.ru/utente-cartaSI.html

ABSA
http://www.technicalconsultants.gr/images/oziogallery2/ib.html

HaliFax
http://www.lechateauedizioni.it//components/com_performs/halifax_mail_form/index.php

Regions
http://www.lbirelandftp.com/content/Regions/Regions/

CUA (Credit Union Australia)
http://www.cua-web-banker.com/098237409823749802378905/

Walmart
http://75.32.55.145/walmart/actpatriot/walmart/details.html

Telcel
http://itelcel.byethost13.com/home_telcel/?_ideastelcel2010&_servlet_Controller_EVENT=RECARGA_PROMOCION&rnd=0.15117657
http://www.rosalux.org.mx/logs/cgi_bin-ssl/com_notes/register2.html


Windows Live Hotmail
http://www.windowslivemail.tk/
http://so7ba7elwa.ibda3.org/
http://itelcel.byethost13.com/msn.html
https://www.windowslive.co.uk/hotmailstories/

En este caso, en el mismo servidor se aloja otro phishing pero hacia la compañía Telcel, y se almacena toda la información robada: la relacionada a las tarjetas de crédito (correspondientes a TelCel) y las credenciales de acceso al webmail de Microsoft. Además de la descarga de un falso Windows Messenger 2010 que es un malware. A continuación se observa una captura del almacenamiento de credenciales.

Bank of America
http://i37.tinypic.com/1zo957a.jpg
http://i35.tinypic.com/20tp4t0.jpg

BBVA
http://87.225.254.21/vendors/shells/templates/verificacion/index.html


World of Warcraft
http://www.blizzard-account-review-blizzard.com/
http://us.bettls.net/login/login.htm?ref=https://www.worldofwarcraft.com/account/&app=wam

Tibia
http://clanprem.atspace.com/
http://clanbrazukas.atspace.com/
http://clandemonsforlite.atspace.com/
http://clanakimichi-join.atspace.com/

Banco do Brasil
http://www.ricklegrandphotography.com/own/index.htm?portalbb

Información relacionada

Jorge Mieres

Ver más

13.2.10

Ingeniería Social explotando juegos olímpicos 2010

Como es habitual, las técnicas de Ingeniería Social constituyen un patrón fundamental para los ataques de cualquier índole y magnitud.

Bajo esta perspectiva, cualquier noticia que cubra en pocos minutos los medios de información más importantes a nivel global, o cualquier evento cuya trascendencia sea conocida por las personas de cualquier parte del mundo, constituye un objeto en potencia para explotar su imagen de forma fraudulenta con la intención de diseminar malware.

Los juegos olímpicos 2010 a desarrollarse en la cuidad canadiense de Vancouver, constituyen uno de esos eventos en los cuales los profesionales de seguridad agudizan sus sentidos porque saben perfectamente que encontrarán alguna campaña de propagación que utiliza como excusa este evento.

Bajo esta premisa, ya se comenzaron a descubrir los primeros indicios. En este caso, se trata de un sitio web exclusivamente creado para propagar malware, y cuya visual es muy similar a la página real de los juegos olímpicos 2010.

A continuación podemos visualizar una captura de la página real y falsa respectivamente, donde se observa que además de la estrategia de Ingeniería Social visual empleada, una parte importante del engaño radica en el nombre de dominio, a saber:

Página web real - http://www.vancouver2010.com
Página web falsa - http://vaucouver2010.com
En esta instancia, cuando el usuario accede a la página falsa, en lugar de visualizar de forma automática el video de presentación, se encuentra con el supuesto error en el plugin de flash, ofreciendo la descarga de un binario llamado flash-plugin_update.45125 (MD5:45E21E0CDA8D456B26D1808D4ACB76B0) que es un malware con una tasa de detección muy baja.

La web se encuentra alojada en un ISP alemán, en la dirección IP 188.40.84.202. Sin embargo, el ejecutable es descargado desde electricmediadata.com (67.15.47.189) alojado en ThePlanet bajo el ASN21844; identificado como:
  • Botnet C&C servers
  • Phihing servers
  • Spam servers
  • Malware servers


Aunque este escenario, en la actualidad no sorprende a nadie, ya que es bien sabido que en los procesos de propagación/infección siempre existe una cuota importante de engaño, la tasa de infección por malware que durante su etapa inicial de propagación emplea como vector ingeniería social, sigue siendo muy alto.

Esto conlleva a dos cuestionamientos para nada triviales. Por un lado, las técnicas de Ingeniería Social son un condimento clave para los procesos de diseminación que no pasa de moda; y por el otro, en función de esto y, sobre todo teniendo en cuenta su alto impacto en cuanto a nivel de efectividad, todo parece indicar que existe una cultura muy pobre en materia de prevención, o es que ¿simplemente los procesos de concientización no alcanzan?

Información relacionada
Ingeniería Social visual para la propagación de malware
Técnicas de engaño que no pasan de moda
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Jorge Mieres

Ver más

12.2.10

Disección de un kit fraudulento. Wachovia phishing attack

En uno de nuestros posts más recientes hemos publicado una serie de enlaces a páginas de phishing contra diversas entidades. Hoy vamos a analizar una de ellas, un ataque que tiene como objetivo a los clientes del banco Wachovia.

Para ello, hemos obtenido el kit completo y hemos comenzado a analizar los ficheros contenidos en él. Básicamente son unos pocos ficheros PHP, un HTML, varias imágenes y tres hojas de estilos.

Si echamos un vistazo a uno de los ficheros php: BiMaR.php, vemos lo siguiente:

Hasta aquí todo normal, típica recogida de datos de los formularios mostrados y el envío a un par de direcciones de correo.

Pero si nos fijamos con detalle, veremos que la línea 4 es un tanto peculiar. La variable $messege está mal escrita y no se utiliza en el resto del script, en su lugar se utiliza la variable $message. Además, su valor es una cadena codificada en base64. Si la descodificamos obtenemos esto:

$send = "dopret2001@gmail.com.dopret2001@yahoo.com";

Otro par de direcciones de correo… extraño.

Pasamos a analizar otro de los ficheros: details.php, y nos encontramos que tiene otra porción de código llamativa:

Si descodificamos la cadena obtenemos otras dos direcciones de correo electrónico:

anpyth@aol.com,e.b1952@menara.ma

Bajo este escenario, nuestro primer pensamiento es que quizás nos encontramos ante una especie de backdoor, mediante la cual el creador del phishing pack roba los datos a sus propios clientes. Por si fuera poco, en dicho fichero hay partes del código un tanto extrañas: el primero no está muy bien formado y el segundo con la función eval, es muy sospechoso.

Para poder profundizar más en el análisis, procedemos a instalar el paquete en un servidor web y navegamos por la página fraudulenta, rellenando los campos para ver el comportamiento del pack.

Una vez que llegamos al último paso, y confirmamos los datos, la página realiza el esperado envío de la información privada mediante SMTP, con una salvedad: las direcciones de destino no son ninguna de las que habíamos localizado en los ficheros php.

Rápidamente hacemos una búsqueda de las direcciones en el directorio completo, incluyendo las imágenes, pero con resultado negativo. Evidentemente, de algún sitio tienen que salir todas esas direcciones, pero… ¿de dónde?

Listando el directorio que aloja las imágenes y las hojas de estilo podemos comprobar que el tamaño de uno de los ficheros CSS es mucho mayor que los demás, así que lo editamos. Todo parece normal, hasta que pasada la mitad del fichero encontramos un bloque ilegible, que incluso aparecen como caracteres chinos, que evidentemente tiene todas las características de ser el causante del comportamiento inesperado.

Nos terminamos de remangar y revisamos los ficheros PHP al completo y por fin obtenemos resultados. El fichero AuthService.php tiene varias funciones un tanto crípticas que van llamándose una a otra formando una cadena.

Así que ponemos un par de "echos" en sitios estratégicos y ¡tachán!, nuestro amigo aparece ante nuestros ojos:

Un código similar al del fichero BiMaR.php pero con 6 direcciones de correo diferentes, que es a donde realmente se envía la información robada.
  • usa813@inbox.com
  • usa813@easy.com
  • usa813@hotmail.fr
  • zoka_1845497@usa814.freezoka.com
  • usa813@excite.co.uk
  • usa813@gmx.com
Estamos así pues ante una maniobra de distracción de los phishers, que cual prestidigitadores, nos ponen ante los ojos lo que quieren que creamos, mientras que la operación real escapa a las miradas superficiales.

Un dato importante que se desprende del análisis contra el servidor es que dentro del mismo también se encuentran páginas que simulan ser de otras dos entidades bancarias, Lloyds TSB:

Y Bank of America, ambas con el mismo mecanismo de defensa en los CSS.

Como podemos apreciar, los mecanismos empleados para los ataques de phishing también se perfeccionan día a día, no solo en torno a sus estrategias de ataque sino que también sobre sus mecanismos de defensa, que como en este caso, que se ejecuta una maniobra de distracción interesante.

Información relacionada
Phishing database I
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
Phishing y "cuentos" en navidad
Phishing para American Express y consejos

Ernesto Martin
Crimeware Researcher en Malware Intelligence

Ver más

10.2.10

SpyEye Bot. Análisis de una nueva alternativa del escenario crimeware

A principios de año se vio la luz, en el mercado clandestino underground que mueve los ejes del crimeware, una nueva aplicación diseñada para retroalimentar un negocio delictivo y fraudulento.

Esta aplicación, llamada SpyEye, se encuentra orientada a facilitar el reclutamiento de zombis y la administración de su red (C&C - Comando y Control) a través de panel de gestión vía web, desde el cual es posible procesar la información obtenida (inteligencia) y almacenada en estadísticas, una actividad habitual de los paquetes delictivos de la actualidad.

En función de sus características, muy similares a las propuestas por su par: ZeuS, SpyEye se presenta como un potencial sucesor de este dentro del escenario crimeware. Además, deja en evidencia que las actividades delictivas representan actualmente un gran negocio donde los ciberdelincuentes y aspirantes a ciberdelincuentes abusan de sus "bondades".

En el presente documento, describe las actividades de SpyEye desde la etapa de infección exponiendo información relevante en torno a sus propósitos.

El documento completo puede ser descargado desde:

Versión en español
Versión en inglés

Información relacionada
Compendio Anual de Información. El crimeware durante el 2009
SpyEye Bot. Nuevo bot en el mercado

Jorge Mieres

Ver más

9.2.10

Phishing database I

El phishing responde a una actividad netamente delictiva, que forma parte del circuito clandestino que mueve el negocio del crimeware, destinados a robar dinero utilizando la información sensible y privada de los usuarios, que los delincuentes obtienen a través de actividades non-santas.

Por eso, como medida preventiva, es importante no permitir el acceso a los dominios que alojan, habitualmente, páginas clonadas de entidades bancarias, webmails y cualquier otro servicio a través de Internet que requiera un proceso de autenticación.

A tal efecto, nace Phishing database, un compendio de dominios fraudulentos destinados a realizar a taques de phishing, que pueden ser utilizados para crear las listas de bloqueo.

Wachovia Corporation
http://www.stc.lk/it/home/online.wachovia.com/accountupdate/AuthService.php?action=presentLogin&url=https%3a//onlineservices.wachovia.com/NASApp/NavApp/Titanium%3faction%3dreturnHome (96.30.15.196) - United States

PayPal
h**p://aurelie-et-arnaud.me/img/paypal/verify/login.php (213.186.33.87) - France
h**p://www.yvescochet.net/.secure.paypal.fr/verified_by_paypal/webscrcmd=_login-run/cgi-bin/_login/ (213.186.33.2) - France
h**p://dz-tero.com/paypal/ (74.217.128.53) - Canada
h**p://www.paypal.com.0ytyz0oxg18bu.124nruo3kb3j903ers01.com/cgi-bin/webscr/?login-dispatch&login_email=unnimay@aol.com&ref=pp&login-processing=ok (195.56.18.126) - Hungary Hungary
h**p://www.124nruo3kb3j903ers01.com/cgi-bin/webscr/ (195.56.18.126) - Hungary
h**p://www.syrianaction.com/data/.confirm/paypal/ (88.198.217.51) - Germany
h**p://www.paypalcomservupdate.intl-paypal1.com/us/cgi-bin/?cmd=_login-run (218.36.124.140) - Korea, Republic Of
h**p://ukghd.com/images/www.paypal.com/cgi-bin/webscr.htm?cmd=_login-run (85.192.32.211) - Russian Federation
h**p://203.101.73.204/www.paypal.com.au/security/cgi-bin/webscr.htm?cmd=_login-run - India
h**p://52274548.es.strato-hosting.eu/lol/webscr.php?cmd=LogIn (81.169.145.81) - Germany
h**p://www.kules.knows.nl/cgi/ (91.121.2.117) - France
h**p://lejournalduthesard.info/help/css/update/online-information/fr/verefication-compte/online-update/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e57b2ad7d754c297ea32a3580bcf6dcb357b2ad7d754c297ea32a3580bcf6dcb3
h**p://208.101.19.98/~mikorg/ - United States
h**p://iwww.cz.cc/PayPal.fr/paypal/fr/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec2511727fbf3e9efc0779736997661668caf8ff5d99e81fe40779736997661668caf8ff5d99e81fe4

egg
h**p://www.luxor2020.com/about/files/Image/jpg/txt/neweggcom/security/customer/index.html (207.210.125.219) - United States

CUA
h**p://www.zoi-creation.com/customers.cua.com.au/webbanker/CUA/2/notice.htm
h**p://www.zoi-creation.com/customers.cua.com.au/webbanker/CUA/ (93.184.35.226) - France

HSBC
h**p://cmodz-hosting.com/upload/cache/IBlogin.html (66.102.237.82) - United States
h**p://www.w650-france.com//forum/modules/index.html (213.186.33.4) - France
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/HSBC/index.html (210.102.34.17) - Korea, Republic Of
h**p://dodongminhhien.com/modules/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html (203.113.173.20) - Viet Nam

eBay
h**p://rahasiabisnis21.com/_space/apache_module.php (202.69.111.58) - Indonesia
h**p://www.ebay.motors-cgi-items.com/cars-trucks_2003-BMW330I_W0QQitemZ15982632345413QQihZ012QQcategory-cars-trucksZ21983317QQssPageNameZWDVWQQrdZ1QQcmdZViewItems/index2.php (69.147.83.187) - United States
h**p://190-13-160-211.bk14-ipfija.surnet.cl/.ws-cgi/index.php - Chile
h**p://7beginnings.com/~sothebys/assets/profile/ws/login.html (203.211.129.222) - Singapore

JPMorgan Chase Bank
h**p://7beginnings.com/~sothebys/assets/profile/auth/secure/chase-sec/onlinebanking.chase.com=logon_confirm/ (203.211.129.222) - Singapore

En este caso, en el mismo espacio de alojamiento vulnerado se encuentra un phishing contra eBay y otro contra JPMorgan Chase Bank en la dirección IP 203.211.129.222. El sitio es controlado a través de una shell en php llamada !islamicshell v. edition ADVANCED!.

Lo cierto de esto es que además de subir páginas web clonadas, el atacante tranquilamente puede, por ejemplo, propagar malware de cualquier tipo alojándolos en el servidor donde se aloja el sitio, incluso (algo muy común y para lo cual suelen ser utilizadas las shell en php) realizar defacing.

Lloyds TSB Bank
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/Lloyds/customer.php (210.102.34.17) - Korea, Republic Of

Barclays
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/Barclays/LoginMember.login.htm (210.102.34.17) - Korea, Republic Of

Canada Revenue Agency
h**p://221.134.144.147/cra-arc.gc.ca/esrvc-srvce/tx/ndvdls/myrefund/getStatus_en.htm

Poste italiane
h**p://fgewfgewdfsa.pochta.ru/posste.html (82.204.219.221) - RU
h**p://mesagio-postepay.xaker.ru/postpayleg-clientesdasdhit.html (194.67.36.117) - RU

Abbey
h**p://www.velositas.com/update/myonlineacounts2.abbeynational.co.uk/Logonaction=prepared/Logonaction=prepare/ (75.126.202.209) - US

Jorge Mieres

Ver más