Malware Intelligence Blog: Phishing database I. A division of MalwareIntelligence

El phishing responde a una actividad netamente delictiva, que forma parte del circuito clandestino que mueve el negocio del crimeware, destinados a robar dinero utilizando la información sensible y privada de los usuarios, que los delincuentes obtienen a través de actividades non-santas.

Por eso, como medida preventiva, es importante no permitir el acceso a los dominios que alojan, habitualmente, páginas clonadas de entidades bancarias, webmails y cualquier otro servicio a través de Internet que requiera un proceso de autenticación.

A tal efecto, nace Phishing database, un compendio de dominios fraudulentos destinados a realizar a taques de phishing, que pueden ser utilizados para crear las listas de bloqueo.

Wachovia Corporation
http://www.stc.lk/it/home/online.wachovia.com/accountupdate/AuthService.php?action=presentLogin&url=https%3a//onlineservices.wachovia.com/NASApp/NavApp/Titanium%3faction%3dreturnHome (96.30.15.196) -

PayPal
h**p://aurelie-et-arnaud.me/img/paypal/verify/login.php (213.186.33.87) -

h**p://www.yvescochet.net/.secure.paypal.fr/verified_by_paypal/webscrcmd=_login-run/cgi-bin/_login/ (213.186.33.2) -

h**p://dz-tero.com/paypal/ (74.217.128.53) -

h**p://www.paypal.com.0ytyz0oxg18bu.124nruo3kb3j903ers01.com/cgi-bin/webscr/?login-dispatch&login_email=unnimay@aol.com&ref=pp&login-processing=ok (195.56.18.126) -

Hungary
h**p://www.124nruo3kb3j903ers01.com/cgi-bin/webscr/ (195.56.18.126) -

h**p://www.syrianaction.com/data/.confirm/paypal/ (88.198.217.51) -

h**p://www.paypalcomservupdate.intl-paypal1.com/us/cgi-bin/?cmd=_login-run (218.36.124.140) -

h**p://ukghd.com/images/www.paypal.com/cgi-bin/webscr.htm?cmd=_login-run (85.192.32.211) -

h**p://203.101.73.204/www.paypal.com.au/security/cgi-bin/webscr.htm?cmd=_login-run -

h**p://52274548.es.strato-hosting.eu/lol/webscr.php?cmd=LogIn (81.169.145.81) -

h**p://www.kules.knows.nl/cgi/ (91.121.2.117) -

h**p://lejournalduthesard.info/help/css/update/online-information/fr/verefication-compte/online-update/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e57b2ad7d754c297ea32a3580bcf6dcb357b2ad7d754c297ea32a3580bcf6dcb3
h**p://208.101.19.98/~mikorg/ -

h**p://iwww.cz.cc/PayPal.fr/paypal/fr/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec2511727fbf3e9efc0779736997661668caf8ff5d99e81fe40779736997661668caf8ff5d99e81fe4

egg
h**p://www.luxor2020.com/about/files/Image/jpg/txt/neweggcom/security/customer/index.html (207.210.125.219) -

CUA
h**p://www.zoi-creation.com/customers.cua.com.au/webbanker/CUA/2/notice.htm
h**p://www.zoi-creation.com/customers.cua.com.au/webbanker/CUA/ (93.184.35.226) -

HSBC
h**p://cmodz-hosting.com/upload/cache/IBlogin.html (66.102.237.82) -

h**p://www.w650-france.com//forum/modules/index.html (213.186.33.4) -

h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/HSBC/index.html (210.102.34.17) -

h**p://dodongminhhien.com/modules/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html (203.113.173.20) -

eBay
h**p://rahasiabisnis21.com/_space/apache_module.php (202.69.111.58) -

h**p://www.ebay.motors-cgi-items.com/cars-trucks_2003-BMW330I_W0QQitemZ15982632345413QQihZ012QQcategory-cars-trucksZ21983317QQssPageNameZWDVWQQrdZ1QQcmdZViewItems/index2.php (69.147.83.187) -

h**p://190-13-160-211.bk14-ipfija.surnet.cl/.ws-cgi/index.php -

h**p://7beginnings.com/~sothebys/assets/profile/ws/login.html (203.211.129.222) -

JPMorgan Chase Bank
h**p://7beginnings.com/~sothebys/assets/profile/auth/secure/chase-sec/onlinebanking.chase.com=logon_confirm/ (203.211.129.222) -

En este caso, en el mismo espacio de alojamiento vulnerado se encuentra un phishing contra eBay y otro contra JPMorgan Chase Bank en la dirección IP 203.211.129.222. El sitio es controlado a través de una shell en php llamada !islamicshell v. edition ADVANCED!.

Lo cierto de esto es que además de subir páginas web clonadas, el atacante tranquilamente puede, por ejemplo, propagar malware de cualquier tipo alojándolos en el servidor donde se aloja el sitio, incluso (algo muy común y para lo cual suelen ser utilizadas las shell en php) realizar defacing.

Lloyds TSB Bank
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/Lloyds/customer.php (210.102.34.17) -

Barclays
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/Barclays/LoginMember.login.htm (210.102.34.17) -

Canada Revenue Agency
h**p://221.134.144.147/cra-arc.gc.ca/esrvc-srvce/tx/ndvdls/myrefund/getStatus_en.htm

Poste italiane
h**p://fgewfgewdfsa.pochta.ru/posste.html (82.204.219.221) -

h**p://mesagio-postepay.xaker.ru/postpayleg-clientesdasdhit.html (194.67.36.117) -

Abbey
h**p://www.velositas.com/update/myonlineacounts2.abbeynational.co.uk/Logonaction=prepared/Logonaction=prepare/ (75.126.202.209) -

Jorge Mieres

2 comentarios:

Anónimo dijo...: What's the point in having a list of a dozen phishing domains ? Sites like Phishtank have a more complete db; 11:42 a. m.
Jorge Mieres dijo...: Hi! what you say is true, but in this post only mentioned those domains used to perform phishing attacks that were the subject of investigation by our team of Phishng Researchers. Undoubtedly PhishTank is an excellent source of information on cases of phishing.; 11:47 a. m.

Publicar un comentario

9.2.10

Phishing database I

2 comentarios:

Buscar este blog

Archives