MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

12.3.10

Campaña de phishing orientada a jugadores de Zynga

Zynga es una compañía desarrolladora de juegos virtuales que dispone de un amplio repertorio de juegos en flash, permitiendo divertirse con ellos incluso a través de algunas redes sociales como Facebook, MySpace y Tagged, entre otros.

Recientemente la imagen de Zynga esta siendo empleada como campaña de phishing empleando como cobertura la animación de algunos de los juegos que la compañía ofrece.

Los dominios involucrados en la campaña son los siguientes:

claimpokerbonus.t35.com/zynga_poker/
claimpokerbonus.t35.com/zynga%20bonus/login_failed.php
claimpokerbonus.t35.com/zynga%20poker/login_failed.php
claimpokerbonus.t35.com/zynga/chip_bonus/login_failed.php
claimpokerbonus.t35.com/zynga_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/poker_chips/login_failed.php
claimpokerbonus.t35.com/zynga/poker_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/claim_poker/login_failed.php

claimpokerbonus.t35.com/zynga/claim_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/chips_bonus/login_failed.php
claimpokerbonus.t35.com/games_bonuschips/zynga_bonus/login_failed.htm
claimpokerbonus.t35.com/games_bonuschips/claim_bonus/login_failed.htm
claimpokerbonus.t35.com/games_bonuschips/login_failed.htm
claimpokerbonus.t35.com/poker-bonus/login_failed.htm
claimpokerbonus.t35.com/poker_chipclaim/login_failed.htm
claimpokerbonus.t35.com/zynga-dailygift/login_failed.htm
claimpokerbonus.t35.com/zynga-game-bonus/login_failed.htm
claimpokerbonus.t35.com/game_lottery/login_failed.htm
claimpokerbonus.t35.com/game_bonus/login_failed.htm
claimpokerbonus.t35.com/claim_poker/login_failed.php


claimpokerbonus.t35.com/claim%20poker/login-failed.html
claimpokerbonus.t35.com/claim%20bonus/login-failed.html
claimpokerbonus.t35.com/Bonus/login_failed.php
claimpokerbonus.t35.com/Bonus/games/login_failed.php
claimpokerbonus.t35.com/Bonus/claim_poker/login_failed.php
claimpokerbonus.t35.com/Bonus/claim_chips/login_failed.php

La estructura de la cada carpeta que contiene los archivos empleados durante el proceso de fraude se compone de los archivos login_failed.php, logs.php, search.php, succes.html y dos archivos con extensión .txt en los cuales se registran los datos robados en texto claro.

El archivo succes.html es llamado desde el archivo logs.php y contiene dos exploits para las vulnerabilidades descriptas en CVE-2008-2463 (Office Snapshot Viewer) y CVE-2008-0015 (MsVidCtl Overflow).

Por otro lado, contiene un Drive-by-Download mediante una etiqueta iframe que redirecciona hacia Trenz.pl/rc/pdf.php?spl=pdf_ie2 desde donde se descarga un archivo pdf detectado por el 50% de los motores antivirus que ofrece el servicio de VirusTotal, y cuyo md5 es 47ea66b43e25169e6bb256e000a16ffd. Además, también descarga el archivo load.exe (c2a41abc43dd0bcf98ae07315eb4c6f6). En este caso, detectado por el 90%.

Ambos archivos se encuentran In-the-Wild y forman parte de un conocido Exploit pack en su versión 1.2: Eleonore Exploit Pack.


Información relacionada
Phishing database III
Disección de un kit fraudulento. Wachovia phishing...
Estado del arte en Eleonore Exploit Pack

Jorge Mieres

0 comentarios: