MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

30.4.10

Una recorrida por los últimos scareware XXI

Desktop Security 2010
204.12.223.187
United  States United States Kansas City Krutik Servers

desktopsecurity2010win.com
certifiedsecureprocessingpayments.com
ns1.startsecureplace.com
ns2.startsecureplace.com
startsecureplace.com

91.121.45.67

France France Ovh Sas
global-d-security.com
level1-antivirus.com
max6antispyware.com
mega1-scanner.com
mega2-scanner.com
mega6-scanner.com
mega7-scanner.com
microantivirus-scanner0.com
microantivirusscanner1.com
microantivirusscanner2.com
pro-2in1-securityh.com
spy-detectora.com
z3-antispyware.com
zan-antivirus-scan.com
zyn-antivirus-scan.com


Setup_328s3.exe (C89D7DAFEA8CC605E6E81A040A1061D7)
4/40 (10.00%)

scanner.secure-your-pc.info/scan.php?campaign=mmb_784713781&landid=6
antivirus-live-1.com
antivirus-21pro.com

AntiSpyware Soft
193.33.115.92
antispyware-system.net
antivirus-armature.com
avprocess.com
defendersoftpremium.net
www.antivirus-armature.com
www.avprocess.com
www.defendersoftpremium.net
Austria Austria Klagenfurt Anexia Internetdienstleistungs Gmbh

209.212.149.20
www1.freeguard33-pr.net
www1.new-sys-scanner1.net
www1.new-sys-scanner2.net - 209.212.147.240
www1.freesys-scanner.net - 209.212.147.241
www1.new-sys-scanner3.net - 209.212.147.244
www1.scanfree2.net - 209.212.147.245
www1.freesys-scanner3.com - 209.212.149.18
United  States United States Arlington Heights Ecomdevel Llc

188.124.5.66
www1.smartguard20-td.com
www1.smartprotection2.com
www1.smartprotection2.net
www1.smartprotection5.net
Turkey Turkey Vital Teknoloji - Dedicated Pool

my-antispyware-update.com - 212.117.177.19
Luxembourg Luxembourg Luxembourg Root Esolutions

208.76.61.100
spy-remover-i9.com
spy-remover-i4.com
spy-remover-i5.com
spy-remover-i6.com
spy-remover-i7.com
defence-status2.com
defence-status3.com
defence-status6.com
defence-status9.com
security-status3.com
security-status4.com
securitystatus6.com
securitystatus7.com
securitystatus8.com
securitystatus9.com
United  States United States San Francisco Everydns Llc

Información relacionada
Una recorrida por los últimos scareware XX
Una recorrida por los últimos scareware XIX
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

Jorge Mieres

Ver más

26.4.10

Phishing database VI

Instituciones financieras y bancarias
HSBC
http://www.publimovilradio.com/modules/IBlogin.html
http://favre-4.fr/xd881/index2.html?hsbc.co.uk/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000GE8AijuUV604QIMQn-iQJDM:11j74lld0?IDV_URL=hsbc.MyHSBC_pib
http://66.179.18.171/lib/support/templates/CVS/1/Login/2/User/ID/HSBC/SessionID/Submit/IBlogin.html

http://mangiaonthird.com/ww/xx/CAM10.php?idv_cmd=idv.Logoff&nextPage=IDV_CAM10_AUTHENTICATION=d4d54d300fee03b7a1ca7212efcdd9a5LogonBy=Connectd4d54d300fee03b7a1ca7212efcdd9a5
http://www.hexagonetimisoara.com/plugins/tmp/IBlogin.html
http://www.atecatamarca.com.ar/restringido/galerias/IBlogin.html
http://taisang.tk/admin/IBlogin.html
http://taisang.tk/modules/IBlogin.html
http://www.programaarena.com.br/libraries/pattemplate/patTemplate/Reader/www.hsbc.co.uk/IBlogin.html
http://spyselect.ie/ext/update.hsbc.co.uk/1/2/personal/internet-banking-jsession=00quurGtvuPvBm9/
http://bosombuddies.ca/gallery/include/pib-home/pib-home/2/1/personal/hsbc.co.uk/IBlogin.html
http://isi.org.ru/netcat/dump/IBlogin.html
http://www.futureworld.org.uk//includes/modules/payment/HSBCINTEGRATION/CAM10;jsessionid=0000giYEk-6jtEJIpKn19x4far8/IBlogin.html
http://segzy.x10hosting.com/images/IBlogin.html
http://thaijoggingclub.net/gallery_img/IBlogin.html
http://woorisurg.com/bbs/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://81.10.19.242/hsbc.co.uk/1/2/IBLogin.html?CAM10;jsessionid=0000siN86yIRSUo4ohplM0Vo2s2:14etg74ed?IDV_URL=hsbc.MyHSBC_pib
http://www.neosemitech.com//board/data/session/cgibin/IBlogin.html

Merrill Lynch Bank (Suisse) S.A.
http://70.38.37.38/~homebase/samba.mllbs.ch/prospect.php?_nfpb=login&_pageLabel=page_logonform

SunTrust
http://wvw.suntrust-sc.com/portals/
http://equatorhd.ca/www.suntrust.com/portal/server.pt/?session=9e50b36bb2497496c6398461a2082fcc9cf45c66fcb67ddc44b04dafa0a2065399f6f9353fb42e260a8def4e4e0af2ca
http://treasurehd.ca/va/www.suntrust.com/portal/server.pt/confirm.php?session=9e50b36bb2497496c6398461a2082fcc9cf45c66fcb67ddc44b04dafa0a2065399f6f9353fb42e260a8def4e4e0af2ca
http://smtp.ultracom-bg.com/portals/suntrust.html
http://secure.suntrust-sec.com/portals/?server.pt/?server.pt?space=Login&ui_ReasonCode=6004

Bradesco
http://87.249.61.69/core/bradesco/Cadastro/index2.php
http://72.167.206.97/zencart/media/desco/log/site/
http://www.fcrorschacherberg.ch/images/sert/bradesco/scripts/ib2k1.dll/LOGIN.php
http://189.1.168.11/~internet/cadastro/log/site/
http://bradescompleto.c0m.la/Seguranca/log/site/perfil/

Bank of America
http://platinum.tritoncore.com/~chancefi/media/.bnkofamericasitykeybknofamerica/signon.php?section=signinpage&update=&cookiecheck=yes&destination=nba/signin
http://sitekey.bankofamerica.com.sas.signon.do.detect.2.signin.sessionid.wsbtxkjzscpehcdziwcaczsbv.veqtvcqsejpmvkduxjbamaijc.zjasksnomikpyargqdiyhwwpu.wzstgytqxmbtyrdgzqdahmqmk.psdlhyghwdoryepkejiwkqwbt.wjdjvowmsfsqoij.brevardcountylandandlots.com/signon/signon.do.php?pageType=708XeMWZ&cust=&l=lWXS3AlBXVShqAhQRfhgTDrf=nttps://sitekey.bankofamerica.com/sas/signon.do?SignIn&SMSESSIONID=ASERTFGUY2I94O0389GYBH23JNMKUYH83JMN12I90U82HJNASDKOASD9AS8D&iv=90832yhIopOWjos
http://www.newlife-baptistchurch.org/ioncube/linked.www.bankofamerica.com/security.update/trust.updater/sitekey-challenge-update/update.bankofamerica.com/update.html
http://ikaska.org/.safe.ssl.comfirmed-onlinebankingofamerica.com./index.html
http://ebookpal.info/images/banners/mailboa/boa/sas/cgi-bin/ias/A/1/bofa/ibd/IAS/presentation/pm_token=C2886KJEHD89483JSO3829ENDHU8392OJD/safe.ssl.confirm.onlinebankingofamerica.com/index.html
http://76.76.104.251/~arrayofl/www.bankofamerica.com.updates.confirm.bankofamerica.com/webscrcmd=_login-run/webscrcmd=_account-run=524685741142/updates-bankofamerica/confirm-bankofamerica.com/boa/signon.php?section=signinpage&update=&cookiecheck=yes&desti http://www.circuitocultural.org/bof/index.html
http://113.105.152.38/updates/bankofamerica/

BBS
http://finnulbbsnetaxeptno.t35.com/1.HTM

MasterCard
http://www.mitraogan.co.id/mo24/email/secure.mastercard384912/index.php

VISA
http://206-51-223.ftth.xms.internl.net/mail/25721.visa.com/index.html

National Bank
http://www.epiphone.co.kr/login/

CartaSI
http://user24821.vs.easily.co.uk/titolari.cartasi.it/33554433&REALMOID/gtwpages/index.jsp/index.htm
http://shinhak.or.kr/bbs/data/gtwpages/

Santander
http://www.sowhere2.co.za//administrator/components/com_joomap/tmpl/santander.php
http://colorama.com.ar/traxxis/system/controls/msctrl/msct/hmrc/allaccounts/abbey/Logon.htm

CBN - Central Bank of Nigeria
http://nigcbnupdatee.t35.com/OnlineCBN.html
http://vervpincodeupdate.t35.com/newupgrade.html

Comercio electrónico
PayPal
http://host-87-103-181-222.pppoe.omsknet.ru/paypal.it/webscr_cmd=_login-submit-amp-dispatch=5885d80a13c0db1f059ee17e99acf19529de9a5cb8b345b6e847e9b5572143/login.html
http://paypak.freewebhostx.com/paypal/index.htm
http://ppmediasetup.com/paypal/newaccount/infostatus/directory099140919084/instance0195088189177147/tst1/webscr.htm
http://boomerscatering.com/images/mkj/www.PayPal.Com/fr/webscrcmd=_login-done&login_access=1190737782.htm
http://www.wanttoregisternewdoamin.com/www.PayPal.Com22/webscrcmd=_login-done&login_access=1190737782.htm
http://www.argentineadventure.com.ar/Templates/paypal/paypal/paypal/www.paypal.com/www.paypal.com/www.paypal.com/www.paypal.com/us/details.html
http://loni9.altervista.org/paypal/
http://cepulamea.net/pp/www.PayPal.Com/
http://removeonlinepp.com/
http://likegyldig.net/cam/www.PayPal.com/login/security/confirmation4548684645384534/fr/webscr.htm?cmd=_Processing&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb2119927117e3a6f876e0fd34af4365214f1aa46a34b94d6755cfc46c0aa05c214f1aa46a34b94d6755cfc46c0aa05c
http://www.julienthomasajulie12.com/www.PayPal.Com22/webscrcmd=_login-done&login_access=1190737782.htm
http://wedfcergdsf.chytrak.cz/fiefnalgsdfpreterwsddffpal1.html
http://125.221.45.73/paypal.com/cmd=_login-run.html
http://users5.nofeehost.com/acc9host/Confirm.html
http://www.ezleadcapture.com/partnersites/FR/cmd=_login-run&dispatch=/5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec8ea269f5b79ff8ce/Online_Login/Activer_Comptes.aspx/index.htm
http://www.ccrm.ch/language/web/
http://noreplypplweb.t35.com/Premier-rekening%20openen.htm
http://werfgtegrsd.chytrak.cz/fiefnalgsdfpreterwsddffpal1.html
http://harborwireless.net/images/pp/.www2.paypalcom/us/cgi-bin/1/webscr/cmd=_login-submit.php
http://paypal-com.mkreed.com/index.html?paypal/paypalup/publication/paypal/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/
http://fr-support.eu/fr_cgi/fr/webscr.php?cmd=_login-run&dispatch=5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec2511727fbf3e9efce9cfe7b9b4e56bdb9eb455fa2753068ef9cfe7b9b4e56bdb9eb455fa2753068
http://www.njomza-azemi.com/ws/

eBay
http://93.157.1.128/shop/images/ws/eBayISAPI.dll_SignIn.php
http://junk.boggsman.com/rustyauction/eBayISAPI.dll.htm
http://singine34byaloginsecurelzy8izjha728wijabzwaz.9k.com/u-Brownie-Wise_W032879327328929Qitem1QQJSyyyd37sdcmbbyloginpag23za32wa32w2azZza3ewsaz.html
http://cgi-isapi-login-change-email.com/cgi/wp/eBay/eBayISAPI.php?cmd=SignIn&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&pa2=&errmsg=&runame
ftp://ppxsw.pop3.ru/.signin.ebay.com.ws.eBayISAPI.dllSignOutConfirm&i.html
http://private-listing-auction-system.sjhdaj.com/vpp/index2.php?W0QQcmdZViewItemQQhashZitem3efe448c6bQQitemZQQptZUSQ5fE559FF65111E0E55111E0E559FF=0
http://www.purchase-motors-ebay.com/a2/anderson.j01.cgi.ebay.com-ebaymotors-2005-Nissan-Maxima-3.5SL-GREAT-BUY-VERY-CLEAN_W0QQitemZ120551342473QQcmdZViewItemQQptZUS_Cars_Truckshashitem1c116b8189/
ftp://220.132.154.109/ehay/Signinehayconnectviewitemnumber06.htm
http://ebaidelogin.t35.com/httpaccesssigninfree.html
http://windows7hacks.net/p/$uggcf:/fptv.ronl.pb.hx/jf/rOnlVFNCV.qyy%3FErtvfgreRagreVasb?threatensorgflags=0111

USAA
http://12.69.112.9/www.usaa.com/internet/logon/



Online Games
World of Warcraft
http://www.worldofwarcraft-securitycheck.com/login/login.asp?ref=https://www.worldofwarcraft.com/account/&app=wam

Habbo
http://habbocrdtgratix.altervista.org/
http://habbogratiscr.t35.com/

Steam
http://projectsteam.t35.com/Freepack/login.htm

Zynga Poker
http://www.chipsbonus.tk/
http://nusantarabikes.com/
http://claimbuddiesbonus.my3gb.com/confirmation.html
http://zyngapoker-bonus.t35.com/ZyngaPoker/BonusChips/Zynga_Poker_login.html
http://conpirmationfacebook.110mb.com/comfirmation.html
http://secure-alert.110mb.com/TexasHoldemPoker%20Registrations.Html
http://account-zynga.com/
http://log-in-facebook111.freewebhostx.com/
http://www.formbuddy.com/cgi-bin/formdisp.pl?u=ramy-12&f=formbuddy
http://giftbnus2010.t35.com/Zynga_Bonus%20Chips.com.html


Redes Sociales
Facebook
http://free_sms_al.t35.com/
http://gfjgfhgjg.altervista.org/
http://facwbook.t35.com/
http://h1.ripway.com/Norii/scrips/index.html
http://expertidr.altervista.org/
http://adadadadadadada.altervista.org/
http://ikillu.altervista.org/
http://trojanagent.altervista.org/
http://poker-cips.t35.com/
http://freefarmvilecash.altervista.org/
http://albaniaunited.altervista.org/
http://newfacebook2.altervista.org/
http://shkarkofilmafcbo.altervista.org/
http://fbcomercial.altervista.org/
http://fbstafflive.altervista.org/
http://albanfb.altervista.org/
http://midhje.altervista.org/
http://shkarkomuzik.altervista.org/
http://facebookhelpteam.t35.com/heb/
http://facebookdemsn.t35.com/
http://faacceeb0o0k.t35.com/Index.htm/
http://dj25337.t35.com/
http://fb847029808.t35.com/
http://facebook258.t35.com/
 http://alb-facebook.tk/
http://nsafacebook.net/
http://cassiopea.no-ip.biz/home/webserver/fake/facebook/

Web Mail
Windows Live
http://soldado.is-the-boss.com/hotmail/login.srf.htm
http://hot4mail.freehostia.com/hotmail/login.srf.htm
http://hotmike.t35.com/login.srf.htm
http://www.themsn.com.ar/login.srf.htm
http://www.cervezabahb.com.ar/themsn/login.srf.htm
http://morad.eb2a.com/hotmail/login.srf.htm
http://azzam111.is-the-boss.com/hotmail_live/login.srf.htm
http://login.live.com.nsatc.net/

Yahoo!
http://ymailgroupz.t35.com/

AOL
http://pictureme.t35.com/

Información relacionada
Phishing database V
Phishing database IV
Phishing database III
Phishing database II
Phishing database I
Página web del film Besouro vulnerada con ataques de phishing a PayPal
Web de Hooters Alemania comprometida con phishing a HSBC
Disección de un kit fraudulento. Wachovia phishing attack

Ver más

19.4.10

Scam de ZeuS sobre IRS continúa siendo activamente explotado

Actualización 19.04.2010

Una nueva ola de dominios Scam sobre el IRS empleados por ZeuS se avecina. Hasta el momento hemos detectado solo unos pocos, pero estimamos que en las próximas horas comenzarán a aparecer muchos más en el escenario delictivo de esta vieja estrategia utilizada por ZeuS.

Los dominios, como es habitual, presentan la siguiente estructura:

irs.gov.rewsserr.eu/fraud.applications/application/statement.php

Desde donde se intenta descargar el binario de ZeuS bajo el nombre tax-statement.exe (6898fb162ceaf75a7f3690d51b0e8967): 36/40 (90.00%)

Los otros dominios detectados son:

irs.gov.rewssert.eu
irs.gov.rewsserx.eu
irs.gov.rewsserz.eu
irs.gov.rewsserr.be
irs.gov.rewsserx.be
irs.gov.rewsserz.be
irs.gov.ryuepoy.eu
irs.gov.ryuepoy.be
irs.gov.ryuepou.eu
irs.gov.ryuepou.be
irs.gov.ryuepoo.eu
irs.gov.ryuepoo.be
irs.gov.ryuepoi.eu
irs.gov.ryuepoi.be
irs.gov.rtadesrw.eu
irs.gov.pexxaz.vg

IRS ZeuS Scam list updated


Actualización 31.03.2010

La campaña de ZeuS sobre la propagación de Scam haciendo alusión al IRS, entre otros, sigue muy activo. Nuevos dominios se encuentran In-the-Wild propagando una variante de troyano ZeuS.

irs.gov.eawsqa.pl/fraud.applications/application/statement.php
irs.gov.eawsqy.pl/fraud.applications/application/statement.php
irs.gov.eawsqu.pl/fraud.applications/application/statement.php

irs.gov.ewsqas.be
irs.gov.ewsqaz.be
irs.gov.ewsqaq.be
irs.gov.awsqaa.be
irs.gov.eawsqa.be
irs.gov.rewdpv.be
irs.gov.rewdpw.be
irs.gov.rewdpc.be
irs.gov.rewdpd.be
irs.gov.rewdpe.be

irs.gov.rewdpa.co.uk
irs.gov.rewdpq.co.uk
irs.gov.rewdpx.co.uk
irs.gov.rewdpz.co.uk
irs.gov.eawsqa.co.uk
irs.gov.eawsqe.co.uk
irs.gov.rewdps.co.uk
irs.gov.eawsqw.co.uk
irs.gov.eawsqt.co.uk
irs.gov.eawsqq.co.uk
irs.gov.eawsqr.co.uk

Esta variante del troyano, que se propaga bajo el nombre tax-statement.exe (6898fb162ceaf75a7f3690d51b0e8967) posee una tasa de detección alta.

ZeuS IRS Scam update list 31.03.2010


Actualización 27.02.2010
irs.gov.wannafilez.org/fraud.applications/application/statement.php
irs.gov.wannafilez.net/fraud.applications/application/statement.php
irs.gov.wannafiles.org/fraud.applications/application/statement.php
irs.gov.wannafile.org/fraud.applications/application/statement.php
irs.gov.mobfilez.org/fraud.applications/application/statement.php
irs.gov.milesfiles.net/fraud.applications/application/statement.php
irs.gov.mobfiles.org/fraud.applications/application/statement.php
irs.gov.ffilez.org/fraud.applications/application/statement.php
irs.gov.diggafilez.org/fraud.applications/application/statement.php
irs.gov.ffilez.net/fraud.applications/application/statement.php
irs.gov.fastgilez.org/fraud.applications/application/statement.php
irs.gov.diggafilez.net/fraud.applications/application/statement.php


ZeuS IRS Scam update list 27.02.2010

Actualización 24.02.2010

Más dominios utilizados por ZeuS para su compaña de infección bajo el logo del IRS y con el mismo Drive-by-Download.

irs.gov.msdrv-v1.tk/fraud.applications/application/statement.php
irs.gov.yrxo.kr/fraud.applications/application/statement.php
irs.gov.yrxo.or.kr/fraud.applications/application/statement.php
irs.gov.yrxo.co.kr/fraud.applications/application/statement.php
irs.gov.yrxo.kr/fraud.applications/application/statement.php
irs.gov.yrxo.ne.kr/fraud.applications/application/statement.php
irs.gov.yrxs.or.kr/fraud.applications/application/statement.php
irs.gov.yrxc.kr/fraud.applications/application/statement.php
irs.gov.yrxc.or.kr/fraud.applications/application/statement.php
irs.gov.yrxc.ne.kr/fraud.applications/application/statement.php
irs.gov.yrxc.co.kr/fraud.applications/application/statement.php
irs.gov.yrxs.co.kr/fraud.applications/application/statement.php
irs.gov.yrxs.kr/fraud.applications/application/statement.php
irs.gov.yrxs.ne.kr/fraud.applications/application/statement.php


Actualización 20.02.2010

Los creadores de ZeuS han puesto en marcha una nueva campaña de infección utilizando como cobertura una falsa notificación supuestamente emitida por el IRS (Internal Revenue Service) de EEUU; mediante el cual se propaga una variante del troyano (MD5:14FBCE4A3F67E46B18308AC6824B2A00) encargado de reclutar zombis. Posee un alto porcentaje de detección.

Además, en el código fuente de la página, se encuentra inyectada una etiqueta iframe que asociada a la dirección hxxp://109.95.114.251/usa50/in.php, provocando un ataque de Drive-by-Download.

Los dominios involucrados en esta nueva campaña son:

irs.gov.desa.ne.kr/fraud.applications/application/statement.php
irs.gov.desa.or.kr/fraud.applications/application/statement.php
irs.gov.desa.kr/fraud.applications/application/statement.php
irs.gov.desa.co.kr/fraud.applications/application/statement.php
irs.gov.desz.or.kr/fraud.applications/application/statement.php
irs.gov.desz.ne.kr/fraud.applications/application/statement.php
irs.gov.desz.kr/fraud.applications/application/statement.php
irs.gov.desz.co.kr/fraud.applications/application/statement.php
irs.gov.desv.kr/fraud.applications/application/statement.php
irs.gov.deso.or.kr/fraud.applications/application/statement.php
irs.gov.deso.kr/fraud.applications/application/statement.php
irs.gov.desb.or.kr/fraud.applications/application/statement.php
irs.gov.desb.ne.kr/fraud.applications/application/statement.php
irs.gov.desb.kr/fraud.applications/application/statement.php
irs.gov.desb.co.kr/fraud.applications/application/statement.php
irs.gov.edase.kr/fraud.applications/application/statement.php
irs.gov.edasa.kr/fraud.applications/application/statement.php
irs.gov.edasa.co.kr/fraud.applications/application/statement.php
irs.gov.edasa.ne.kr/fraud.applications/application/statement.php
irs.gov.edase.ne.kr/fraud.applications/application/statement.php
irs.gov.edasq.or.kr/fraud.applications/application/statement.php
irs.gov.edasq.co.kr/fraud.applications/application/statement.php
irs.gov.edasq.ne.kr/fraud.applications/application/statement.php
irs.gov.ersm.or.kr/fraud.applications/application/statement.php
irs.gov.edasn.kr/fraud.applications/application/statement.php
irs.gov.ersa.or.kr/fraud.applications/application/statement.php
irs.gov.ersm.co.kr/fraud.applications/application/statement.php
irs.gov.edasq.kr/fraud.applications/application/statement.php
irs.gov.ersq.co.kr/fraud.applications/application/statement.php
irs.gov.edase.co.kr/fraud.applications/application/statement.php
irs.gov.edasn.or.kr/fraud.applications/application/statement.php
irs.gov.ersq.kr/fraud.applications/application/statement.php
irs.gov.edasa.or.kr/fraud.applications/application/statement.php
irs.gov.ersm.ne.kr/fraud.applications/application/statement.php
irs.gov.edase.or.kr/fraud.applications/application/statement.php
irs.gov.ersm.kr/fraud.applications/application/statement.php
irs.gov.edasn.ne.kr/fraud.applications/application/statement.php
irs.gov.ersw.kr/fraud.applications/application/statement.php
irs.gov.erst.ne.kr/fraud.applications/application/statement.php
irs.gov.ersw.or.kr/fraud.applications/application/statement.php
irs.gov.erst.kr/fraud.applications/application/statement.php
irs.gov.erst.or.kr/fraud.applications/application/statement.php
irs.gov.ersq.or.kr/fraud.applications/application/statement.php


Original 14.02.2010

Durante el año pasado (2009) se conocieron varios Scam propagados como estrategia de ataque por parte de ZeuS, haciendo alusión al IRS (Internal Revenue Service), una agencia que depende del Departamento del Tesoro de los Estados Unidos, mediante la cual se diseminaba una variante de la familia de troyanos de ZeuS.

Actualmente, esta misma estrategia esta siendo activamente explotada bajo otra campaña de falsos dominios registrados con nombre similares a la página real del IRS, que diseminan otra nueva variante del troyano ZeuS, donde queda claro que el objetivo es reclutar zombis que permitan acrecentar su extensa red. A continuación podemos observar una captura del nuevo Scam.

El mensaje responde a una supuesta declaración de impuestos que se adjunta en el mismo, y que, según el mismo mensaje, debe ser descargado y ejecutado para poder visualizar la declaración.

En esta faceta del engaño, se descarga un binario llamado tax-statement.exe (MD5:9F0F75BA042B3CB0471749EC2416945B) que posee un nivel muy aceptable de detección por parte de los motores antivirus, siendo detectado por 37 de 40.

Los dominios involucrados en esta campaña son:

irs.gov.rep073.co.kr/fraud.applications/application/statement.php
irs.gov.rep021.co.kr/fraud.applications/application/statement.php
irs.gov.rep023.co.kr/fraud.applications/application/statement.php
irs.gov.rep022.co.kr/fraud.applications/application/statement.php
irs.gov.rep023.or.kr/fraud.applications/application/statement.php
irs.gov.rep021.or.kr/fraud.applications/application/statement.php
irs.gov.rep022.or.kr/fraud.applications/application/statement.php
irs.gov.rep022.ne.kr/fraud.applications/application/statement.php
irs.gov.rep021.ne.kr/fraud.applications/application/statement.php
irs.gov.rep022.kr/fraud.applications/application/statement.php
irs.gov.rep023.kr/fraud.applications/application/statement.php
irs.gov.rep021.kr/fraud.applications/application/statement.php
datalink.limewebs.com/www.irs.gov.newsroom.article.0.id=204335.00.html.portlet=6/refund.php

Pueden descargar la lista de dominios utilizados por ZeuS en torno al IRS desde el siguiente enlace:

ZeuS IRS Domains

ZeuS posee un amplio repertorio de nombres de dominios en función de sus estrategias de propagación, y a lo largo de todo su periodo bajo la nominación “In-the-Wild” fueron muchas las estrategias conocidas y utilizadas para obtener información de índole financiera de todas sus computadoras víctimas.

Sin lugar a dudas, ZeuS es la creme de la creme del crimeware de su estilo.

Información relacionada
Scam de ZeuS sobre IRS continúa siendo activamente explotado
ZeuS y el robo de información sensible
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más

3.4.10

Phishing Database V

Instituciones financieras y bancarias
HSBC (http://www.hsbc.com)
http://www.ellerencontre.com//forum/add/verify/HSBCINTEGRATIONCAM10jsessionid=00001DwpIt0wIyX1arHd6K8mQB6URL=hsbc.MyHSBCpib/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.mygrowshop.com/GiantSolutions/includes/hsbc.co.uk/HSBCINTEGRATIONCAM10;js/Register%20forInternetBanking/IBlogin.html
http://www.wings-of-germany.de/language/IBlogin.html
http://www.sugardaddy-match.com/wages/IBlogin.html
http://stalamsink.carpfun.nl/upgrade/IBlogin.html
http://www.taosmotors.net/wages/IBlogin.html
http://werlondik.com/brhsbc.co.uk/1/index.php
http://werlondik.com/security.hsbc.co.uk/1/index.php
http://holetyx.com/hssbc.co.uk/1/index.php
http://ballmeon.com/hhsbc.co.uk/1/index.php
http://derbysik.com/brhsbc.co.uk/1/index.php
http://www.janefrancesphotography.net/images/large/families/IBlogin.html
http://www.academy-uk.net/academy/teacher/images/IBlogin.html
http://lamourencouleurs.fr/emailimages/eefs/verify/HSBCINTEGRATIONCAM10jsessionid=00001DwpIt0wIyX1arHd6K8mQB6URL=hsbc.MyHSBCpib/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://hsbc-online.etvx.info/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://palizada.org/images/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.mytime-jewelry.com//administrator/components/com_virtuemart/IBlogin.html
http://www.beavertonletip.com/IBlogin.html
http://www.diningonthego.com/wages/IBlogin.html
http://www.webseomarketing.com/wages/IBlogin.html
http://werlondik.com/brhsbc.co.uk/1/index.php
http://werlondik.com/security.hsbc.co.uk/1/index.php
http://holetyx.com/security.hsbc.co.uk/1/index.php
http://teachers-corner.co.uk/wp-includes/images/smilies/_notes/IBlogin.html
http://ynzal.com/catalog/images/gds/hsbc=HSBCINTEGRATION;jsessionid=0000BZUYYF_dAUw4Iqqlvb4F3RR/index.php
http://www.artbyonlineoriginals.com/images/mail/IBlogin.htm
http://online-credit-repair-info.com/images/IBlogin.html
http://hsbc-online.at-le-bar.com/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://www.londontaxis.info/wages/IBlogin.html
http://iomtt.com.ar/hsbc-online//1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc.gaadi.eu/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc.mobilenew.co.uk/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc-online.fitnessage.com.sg/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc-online.urtava.com/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://johnbarresi.com.au//proeye/proeye2/hsbcbankuk/index.html
http://aspiration.centrale.free.fr/custom/include/index.html
http://lloydsite.org/ib/CAM10-jsessionid=000026MQ7KnXUxsKmiYKszFUkGJ12c58ti63.htm
http://www.oranaarts.com/files/hsbc.onlinebanki/index.htm
http://www.sueoverton.com//mambots/editors/tinymce/jscripts/tiny_mce/editorial.html
http://leverx.ru/hsbcbankuk/index.html
http://gcitizen.org/wp-includes/images/crystal/IBlogin.html
http://jeanjacquesestager.free.fr/_private/IBlogin.php
http://brabantbusinessclub.be/uploads/images/employees/IBlogin.html

ICICI Bank (www.icicibank.com)
http://mrquibble.com/sqladmin/themes/original/img/onlineverification.do/indexx.html

Banco Do Brasil (www.bb.com.br)
http://www.portalbancodobrasilnet.com/portalbb/aapf/login/index.bb

Bradesco (www.bradesco.com.br)
http://www.badminton.hr/logs/bradescorecadastramento.com.br/?http://www.bradesco.com.br
http://www.sodagri.net/Bradesco.com.br/scripts/ib2k1.dll/LOGIN.php
http://www.neetbankingg.com/desco/log/site/
http://simbrasegu.dominiotemporario.com/Bradesco/LOGIN.php

NAB - National Australia Bank (www.nab.com.au)
http://www.jbngems.com/editors/nab/

BBVA
(www.bbva.com)
http://74.54.17.82/~lalampar/provincial.com/tlvz/index.html
http://81.4.128.110:8011/www.bbva.es/TLBS/tlbs/esp/segmento/particulares/index.htm
http://www.servicio-bbva.es.frostmaster.com/TBLS/segmento/particulares/index.htm

Bank of America (http://www.bankofamerica.com)
http://www.flagontheplay.co.uk/classifieds/yellow_images/update.bankofamerica.com/update.bankofamerica.com/securedspot/verify/cmThkRqcUe5qBbIUMLTMUxjVXHuoiRBMC8Qg1BHav4pYFzembFoENcG1gf3H4PaiYU4h/securedpage/
platinum.tritoncore.com/~grafix90/bnkofamericasitykeybknofamerica/signon.php?section=signinpage&update=&cookiecheck=yes&destination=nba/signin
http://www.atcn.com.ng/boa/ibc1/www.boa.com/boa.online/onlinebankingofamerica.com/index.htm
http://www.jeondae.es.kr/images/IRS/Bofa/index.htm

Wells Fargo (www.wellsfargo.com)
http://www.jeondae.es.kr/images/IRS/Wellsfargo/index.html

ING Direct (www.ingdirect.com)
http://www.jeondae.es.kr/images/IRS/INGDirect/index.html

KeyBank (https://www.key.com)
http://www.jeondae.es.kr/images/IRS/Key/index.html

MasterCard (www.mastercard.com)
http://www.mitraogan.co.id/mo24/email/secure.mastercard384912/index.php

NedBank (www.nedbank.co.za)
http://www.abcidealpartners.com/SARS/SARS/SARS/Nedbank/index.html
http://www.design-daisy.com/images/NedBank/NedBank/Internet-Banking.html

FNB - Fist National Bank (www.fnb.co.za)
El mismo sitio contiene otro paquete de phishing pero orientado a otra entidad bancaria de Sudáfrica: FNB.

http://www.abcidealpartners.com/SARS/SARS/SARS/FNB/index.html
http://eugenechang.com/2008/05/index.html

Standard Bank (www.standardbank.com)
http://www.abcidealpartners.com/SARS/SARS/SARS/Standard/index.html

Poste Italiane
(www.poste.it)
http://muflexx.com/folder/1.php?logon=myposte
http://youeme.com/_server/https/www.poste.it/bancoposta/online/_private/bpol/CARTEPRE/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
http://www.ccllbb.org/bancopostaonline.poste.it/bpol/CARTEPRE/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
http://www.opensourcedeal.com/images/poste/login.html

CartaSI (www.cartasi.it)
http://titolaricartasi.myvnc.com/portale.carta.it/
http://https.universal.pay.secure.code.international.electronic-product.net/titolari.carlasi.it/portaleTitolari/login.html
http://webmail.orbit.net.pk/manual/search/.redirect.tirolari.cartasi.it.portal/index.html

Interbank (www.interbank.com.pe)
http://aditivos.com.sv/includes/fileman/includes/www.interbank.com.pe/

SunTrust (www.suntrust.com)
http://onpointservice.com/www.suntrust.com/portal/server.pt/?session=9e50b36bb2497496c6398461a2082fcc9cf45c66fcb67ddc44b04dafa0a2065399f6f9353fb42e260a8def4e4e0af2ca
http://onmgroup.org/www.suntrust.com/portal/server.pt/?session=9e50b36bb2497496c6398461a2082fcc9cf45c66fcb67ddc44b04dafa0a2065399f6f9353fb42e260a8def4e4e0af2ca

National City (www.nationalcity.com)
http://www.jeondae.es.kr/images/IRS/NationalCity/index.html

egg (http://www.egg.com)
http://rainandbeauty.com/1/images/yourmoney.html
http://www.tdfa.org.tw/19/imageinstore/aspx.html

Comercio electrónico
PayPal (https://www.paypal.com)
http://paypal.heart4rent.com/
http://gestion-assistance.com/images/Acti-vat-ion/Pay-PaI/web-scr_cmd-__login-submit=88d4dd2s/paypal/webscr.php?cmd=_login-run&dispatch=58fhgh80a13c0db1f998ca054efbdf2c29878a4dfg35fe3dfg24eec251dfg17984bfsdfgfg3e9efc43be68afde3b5a1f8bc51e57a603005e43be68afde3b5a1f8bc51e57a603005e
http://verifmycard.javabien.fr/paypal.fr/cgi-bin/updates-paypal/confirm-paypal/confirm.html
http://sec-ng.com/cgi-biin/confirm-info/bssdsdwdf441dsf5545dsf211s/
http://66.49.189.144/users/sunshine/paypal/cgi-bin/webscr&cmd=_login-run/?flagged&account=_login-run
http://visiotex.com/www.paypal.com/us/cgi-bin/webscr.php?cmd=_login-run&dispatchMessage-ID
http://www.lastudioart.com/recupera/details.html?cmd=_login-done&login_access=1193476743
http://fousad.limewebs.com/www.PyPaL.fr/www.PyPaL.fr/online-securise/fr_cgi-bin/webscrcmd=_login-run/webscr.htm?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e600503ac90b3469c8ae903c553e3dc43600503ac90b3469c8ae903c553e3dc43
http://210.109.7.34/paypal/index.html
http://www.wishfoundation.in/images/paypal-verify/paypal-verify/de/confirm/
http://davethecomputerdoctor.com/forum/language/lang_english/email/service-web/PaYpa.L.FR.Comunication/JKLJKLGHJKLHJHJJKLJKLJKLGFKLJDFGKLJSDFKLGSDG5644654D56FG456SDG456SD4G56D4G564SDG564D56G4D56FG456DFG456DSG456DSF4G65SDF4G56D4FG56D4SFG564DSG564SD56G456SDG4DFGJKLSDGJSDFGJKDSLGJKLDSGJKLDJGKLSDJGKJDGJDKLFGJKLDSFJGLKSDJGKLSDJGKLJSDFKGJDKLGJKLDGJKLDGJLKDGJLK/service.connexion.France-Telecom.fr/

eBay (www.ebay.com)
http://budvill.hu/Images/icons/signin.ebay.com.ws.eBayISAPI.dllSignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=0&ru=my.ebay.com2Fws2FeBayISAPI.dllFMyMessagesFolderView/


Online Games
World of Warcraft (www.worldofwarcraft.com)
http://us.betiic.net/login/login.htm?ref=https://www.worldofwarcraft.com/account/&app=wam&rhtml=true
http://www.worldofwaracraft-manage.com/
http://www.worldofwarcrazft-login.com/
http://www.account-6.com/wow.html
http://www.blizzardaccount-management.com/
http://us.battxe.net/login/login.html

Redes Sociales
Orkut (www.orkut.com)
http://orkut2.50webs.com/orkut%20-%20login.htm
http://kirkrjk.t35.com/orkut%20-%20login.htm
http://orkuty-cmm.50webs.com/orkut%20-%20login.htm

Facebook (www.facebook.com)
http://facebook-you.denirulz.org/
http://cassiopea.no-ip.biz/webserver/www.facebook/
http://nabsky.wen.ru/Tools/facebook.php.html

Web Mail
Windows Live (http://login.live.com)
http://agencia.pro.idoo.com//entrevistadas/login.srf.htm
http://cats.goodoolz.com/
http://login.live.com.nsatc.net/

Información relacionada
Phishing database IV
Phishing database III
Phishing database II
Phishing database I
Página web del film Besouro vulnerada con ataques de phishing a PayPal
Web de Hooters Alemania comprometida con phishing a HSBC
Disección de un kit fraudulento. Wachovia phishing attack

Jorge Mieres

Ver más

Página web del film Besouro vulnerada con ataques de phishing a PayPal

La página web de la película brasileña que cuenta la historia de capoerista Besouro, muy buena dicho sea de paso :-), ha sido vulnerada y contiene una clonación de la página web de PayPal.

Anteriormente habíamos mencionado que la página de Hooters Alemania había sido víctima de un ataque similar.

En este caso, como podemos apreciar, el sitio posee un blog montado en WordPress y quizás sea este el punto débil a través del cual lograron subir el contenido fraudulento.

Lo cierto es que posee un ataque de phishing contra PayPal, cuya imagen se expone a continuación:

Si bien el sitio no tiene ningún otro tipo de contenido malicioso más que el phishing en cuestión, no significa que el atacante no haya podido alojar también códigos maliciosos o paquetes de phishing contra otras entidades.

Por tal motivo es fundamental verificar los mecanismos de seguridad y realizar auditorias web periódicas a fin de detectar con antelación las actividades perjudiciales de este estilo.

Información relacionada
Web de Hooters Alemania comprometida con phishing a HSBC
Phishing Database IV
Nueva campaña de phishing contra Facebook encabezada por ZeuS
Campaña de phishing orientada a jugadores de Zynga
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Disección de un kit fraudulento. Wachovia phishing attack

Jorge Mieres

Ver más