MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

9.2.10

Phishing database I

El phishing responde a una actividad netamente delictiva, que forma parte del circuito clandestino que mueve el negocio del crimeware, destinados a robar dinero utilizando la información sensible y privada de los usuarios, que los delincuentes obtienen a través de actividades non-santas.

Por eso, como medida preventiva, es importante no permitir el acceso a los dominios que alojan, habitualmente, páginas clonadas de entidades bancarias, webmails y cualquier otro servicio a través de Internet que requiera un proceso de autenticación.

A tal efecto, nace Phishing database, un compendio de dominios fraudulentos destinados a realizar a taques de phishing, que pueden ser utilizados para crear las listas de bloqueo.

Wachovia Corporation
http://www.stc.lk/it/home/online.wachovia.com/accountupdate/AuthService.php?action=presentLogin&url=https%3a//onlineservices.wachovia.com/NASApp/NavApp/Titanium%3faction%3dreturnHome (96.30.15.196) - United States

PayPal
h**p://aurelie-et-arnaud.me/img/paypal/verify/login.php (213.186.33.87) - France
h**p://www.yvescochet.net/.secure.paypal.fr/verified_by_paypal/webscrcmd=_login-run/cgi-bin/_login/ (213.186.33.2) - France
h**p://dz-tero.com/paypal/ (74.217.128.53) - Canada
h**p://www.paypal.com.0ytyz0oxg18bu.124nruo3kb3j903ers01.com/cgi-bin/webscr/?login-dispatch&login_email=unnimay@aol.com&ref=pp&login-processing=ok (195.56.18.126) - Hungary Hungary
h**p://www.124nruo3kb3j903ers01.com/cgi-bin/webscr/ (195.56.18.126) - Hungary
h**p://www.syrianaction.com/data/.confirm/paypal/ (88.198.217.51) - Germany
h**p://www.paypalcomservupdate.intl-paypal1.com/us/cgi-bin/?cmd=_login-run (218.36.124.140) - Korea, Republic Of
h**p://ukghd.com/images/www.paypal.com/cgi-bin/webscr.htm?cmd=_login-run (85.192.32.211) - Russian Federation
h**p://203.101.73.204/www.paypal.com.au/security/cgi-bin/webscr.htm?cmd=_login-run - India
h**p://52274548.es.strato-hosting.eu/lol/webscr.php?cmd=LogIn (81.169.145.81) - Germany
h**p://www.kules.knows.nl/cgi/ (91.121.2.117) - France
h**p://lejournalduthesard.info/help/css/update/online-information/fr/verefication-compte/online-update/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e57b2ad7d754c297ea32a3580bcf6dcb357b2ad7d754c297ea32a3580bcf6dcb3
h**p://208.101.19.98/~mikorg/ - United States
h**p://iwww.cz.cc/PayPal.fr/paypal/fr/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec2511727fbf3e9efc0779736997661668caf8ff5d99e81fe40779736997661668caf8ff5d99e81fe4

egg
h**p://www.luxor2020.com/about/files/Image/jpg/txt/neweggcom/security/customer/index.html (207.210.125.219) - United States

CUA
h**p://www.zoi-creation.com/customers.cua.com.au/webbanker/CUA/2/notice.htm
h**p://www.zoi-creation.com/customers.cua.com.au/webbanker/CUA/ (93.184.35.226) - France

HSBC
h**p://cmodz-hosting.com/upload/cache/IBlogin.html (66.102.237.82) - United States
h**p://www.w650-france.com//forum/modules/index.html (213.186.33.4) - France
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/HSBC/index.html (210.102.34.17) - Korea, Republic Of
h**p://dodongminhhien.com/modules/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html (203.113.173.20) - Viet Nam

eBay
h**p://rahasiabisnis21.com/_space/apache_module.php (202.69.111.58) - Indonesia
h**p://www.ebay.motors-cgi-items.com/cars-trucks_2003-BMW330I_W0QQitemZ15982632345413QQihZ012QQcategory-cars-trucksZ21983317QQssPageNameZWDVWQQrdZ1QQcmdZViewItems/index2.php (69.147.83.187) - United States
h**p://190-13-160-211.bk14-ipfija.surnet.cl/.ws-cgi/index.php - Chile
h**p://7beginnings.com/~sothebys/assets/profile/ws/login.html (203.211.129.222) - Singapore

JPMorgan Chase Bank
h**p://7beginnings.com/~sothebys/assets/profile/auth/secure/chase-sec/onlinebanking.chase.com=logon_confirm/ (203.211.129.222) - Singapore

En este caso, en el mismo espacio de alojamiento vulnerado se encuentra un phishing contra eBay y otro contra JPMorgan Chase Bank en la dirección IP 203.211.129.222. El sitio es controlado a través de una shell en php llamada !islamicshell v. edition ADVANCED!.

Lo cierto de esto es que además de subir páginas web clonadas, el atacante tranquilamente puede, por ejemplo, propagar malware de cualquier tipo alojándolos en el servidor donde se aloja el sitio, incluso (algo muy común y para lo cual suelen ser utilizadas las shell en php) realizar defacing.

Lloyds TSB Bank
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/Lloyds/customer.php (210.102.34.17) - Korea, Republic Of

Barclays
h**p://www.ifsb.co.kr/bbs/data/guest/gold/folder/folder/New%20Folder/United2/Folder/Folder/Folder/Folder/Folder/Folder/Folder/empty/empty/empty/United2/United/United/United/Barclays/LoginMember.login.htm (210.102.34.17) - Korea, Republic Of

Canada Revenue Agency
h**p://221.134.144.147/cra-arc.gc.ca/esrvc-srvce/tx/ndvdls/myrefund/getStatus_en.htm

Poste italiane
h**p://fgewfgewdfsa.pochta.ru/posste.html (82.204.219.221) - RU
h**p://mesagio-postepay.xaker.ru/postpayleg-clientesdasdhit.html (194.67.36.117) - RU

Abbey
h**p://www.velositas.com/update/myonlineacounts2.abbeynational.co.uk/Logonaction=prepared/Logonaction=prepare/ (75.126.202.209) - US

Jorge Mieres

2 comentarios:

Anónimo dijo...

What's the point in having a list of a dozen phishing domains ? Sites like Phishtank have a more complete db

Jorge Mieres dijo...

Hi! what you say is true, but in this post only mentioned those domains used to perform phishing attacks that were the subject of investigation by our team of Phishng Researchers. Undoubtedly PhishTank is an excellent source of information on cases of phishing.