MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

22.2.10

Campaña de phishing a Facebook y VISA propuesta por ZeuS

Actualización 21.02.2010
Más dominios activos que forman parte de la misma campaña de phishing contra usuarios de VISA. Los dominios son:

reports.cforms.visa.com.desz.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.desz.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.desz.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.ne.kr/secureapps/


Original 20.02.2010
ZeuS posee un repertorio bastante grande con estrategias orientadas a propuestas de Scam para diseminar su troyano y para realizar ataques de phishing contra muchas compañías y entidades bancarias muy conocidas.

Recientemente hemos advertido sobre una campaña de Scam empleando como cobertura al IRS, que se viene generando desde hace mucho tiempo pero que cada cierto tiempo vuelve a activarse; constituyendo un ciclo delictivo que busca diseminar ZeuS y que se cumple para con todas sus estrategias.

Ahora, nuevamente vuelve a activarse una campaña de phishing que involucra a Facebook.

Los dominios involucrados son:

facebook.com.edase.or.kr/usersdirectory/LoginFacebook.php
facebook.com.ersm.kr/usersdirectory/LoginFacebook.php
facebook.com.edasn.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.desz.or.kr/usersdirectory/LoginFacebook.php
facebook.com.desz.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.ersq.kr/usersdirectory/LoginFacebook.php
facebook.com.edase.co.kr/usersdirectory/LoginFacebook.php
facebook.com.edasq.kr/usersdirectory/LoginFacebook.php
facebook.com.ersw.co.kr/usersdirectory/LoginFacebook.php
facebook.com.ersa.or.kr/usersdirectory/LoginFacebook.php
facebook.com.edasn.kr/usersdirectory/LoginFacebook.php
facebook.com.edasa.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.ersm.or.kr/usersdirectory/LoginFacebook.php
facebook.com.edasq.ne.kr/usersdirectory/LoginFacebook.php
facebook.com.edasn.or.kr/usersdirectory/LoginFacebook.php
facebook.com.ersa.or.kr/usersdirectory/LoginFacebook.php

Al igual que otras campañas, el código fuente de la página posee inyectada una etiqueta iframe, que en este caso redirecciona hacia hxxp://109.95.114.251/us01d/in.php.

Esta página (in.php) redireccionan hacia:

109.95.114.251/us01d/load.php
109.95.114.251/us01d/file.exe
109.95.114.251/us01d/xd/pdf.pdf
109.95.114.251/us01d/xd/sNode.php

Desde los cuales se intenta explotar algunos exploits: CVE-2007-5659, CVE-2008-2992, CVE-2008-0015 y CVE-2009-0927.

Este servidor también se encuentra sirviendo actualmente otra campaña masiva, pero diseminando el troyano de ZeuS a través de una Scam al IRS. En este caso, solo cambia la carpeta donde se aloja el paquete, a saber: hxxp://109.95.114.251/usa50/in.php

Como vemos, ZeuS no se detiene en su carrera delictiva. De hecho, también se encuentran activas otras campañas más, como por ejemplo, las que involucran un ataque de phishing escudándose bajo el logo de VISA.

En este otro caso, los dominios utilizados son:

reports.cforms.visa.com.edasa.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersq.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersq.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasq.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersw.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersa.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasn.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasa.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.ersm.or.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasq.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.ne.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasq.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasa.co.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasa.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edase.kr/secureapps/vdir/cholderform.php
reports.cforms.visa.com.edasn.or.kr/secureapps/vdir/cholderform.php

Información relacionada
Scam de ZeuS sobre IRS continúa siendo activamente explotado
ZeuS y el robo de información sensible
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)