Campaña de phishing orientada a jugadores de Zynga
Zynga es una compañía desarrolladora de juegos virtuales que dispone de un amplio repertorio de juegos en flash, permitiendo divertirse con ellos incluso a través de algunas redes sociales como Facebook, MySpace y Tagged, entre otros.
Recientemente la imagen de Zynga esta siendo empleada como campaña de phishing empleando como cobertura la animación de algunos de los juegos que la compañía ofrece.
Recientemente la imagen de Zynga esta siendo empleada como campaña de phishing empleando como cobertura la animación de algunos de los juegos que la compañía ofrece.
claimpokerbonus.t35.com/zynga_poker/
claimpokerbonus.t35.com/zynga%20bonus/login_failed.php
claimpokerbonus.t35.com/zynga%20poker/login_failed.php
claimpokerbonus.t35.com/zynga/chip_bonus/login_failed.php
claimpokerbonus.t35.com/zynga_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/poker_chips/login_failed.php
claimpokerbonus.t35.com/zynga/poker_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/claim_poker/login_failed.php
claimpokerbonus.t35.com/zynga/chips_bonus/login_failed.php
claimpokerbonus.t35.com/games_bonuschips/zynga_bonus/login_failed.htm
claimpokerbonus.t35.com/games_bonuschips/claim_bonus/login_failed.htm
claimpokerbonus.t35.com/games_bonuschips/login_failed.htm
claimpokerbonus.t35.com/poker-bonus/login_failed.htm
claimpokerbonus.t35.com/poker_chipclaim/login_failed.htm
claimpokerbonus.t35.com/zynga-dailygift/login_failed.htm
claimpokerbonus.t35.com/zynga-game-bonus/login_failed.htm
claimpokerbonus.t35.com/game_lottery/login_failed.htm
claimpokerbonus.t35.com/game_bonus/login_failed.htm
claimpokerbonus.t35.com/claim_poker/login_failed.php
claimpokerbonus.t35.com/claim%20poker/login-failed.html
claimpokerbonus.t35.com/claim%20bonus/login-failed.html
claimpokerbonus.t35.com/Bonus/login_failed.php
claimpokerbonus.t35.com/Bonus/games/login_failed.php
claimpokerbonus.t35.com/Bonus/claim_poker/login_failed.php
claimpokerbonus.t35.com/Bonus/claim_chips/login_failed.php
La estructura de la cada carpeta que contiene los archivos empleados durante el proceso de fraude se compone de los archivos login_failed.php, logs.php, search.php, succes.html y dos archivos con extensión .txt en los cuales se registran los datos robados en texto claro.
El archivo succes.html es llamado desde el archivo logs.php y contiene dos exploits para las vulnerabilidades descriptas en CVE-2008-2463 (Office Snapshot Viewer) y CVE-2008-0015 (MsVidCtl Overflow).
Por otro lado, contiene un Drive-by-Download mediante una etiqueta iframe que redirecciona hacia Trenz.pl/rc/pdf.php?spl=pdf_ie2 desde donde se descarga un archivo pdf detectado por el 50% de los motores antivirus que ofrece el servicio de VirusTotal, y cuyo md5 es 47ea66b43e25169e6bb256e000a16ffd. Además, también descarga el archivo load.exe (c2a41abc43dd0bcf98ae07315eb4c6f6). En este caso, detectado por el 90%.
Ambos archivos se encuentran In-the-Wild y forman parte de un conocido Exploit pack en su versión 1.2: Eleonore Exploit Pack.
Por otro lado, contiene un Drive-by-Download mediante una etiqueta iframe que redirecciona hacia Trenz.pl/rc/pdf.php?spl=pdf_ie2 desde donde se descarga un archivo pdf detectado por el 50% de los motores antivirus que ofrece el servicio de VirusTotal, y cuyo md5 es 47ea66b43e25169e6bb256e000a16ffd. Además, también descarga el archivo load.exe (c2a41abc43dd0bcf98ae07315eb4c6f6). En este caso, detectado por el 90%.
Ambos archivos se encuentran In-the-Wild y forman parte de un conocido Exploit pack en su versión 1.2: Eleonore Exploit Pack.
Información relacionada
Phishing database III
Disección de un kit fraudulento. Wachovia phishing...
Estado del arte en Eleonore Exploit Pack
Jorge Mieres
0 comentarios:
Publicar un comentario