cNotes 検索 一覧 カテゴリ

スパムで利用されるTargetted URLの応用

Published: 2009/10/15

14日からたくさん届くようになりました。

これはうまいですね、ひっかかるかも。

メールサーバーの管理者から、

「メールサービスのセキュリティアップグレードをしたのであなたのメールボックスの設定の変更してね」

というメールが届きます。

そして、文中の関連する情報がすべてメール受信者のメールアドレスのドメインになってます。

マスクしちゃってますが、このスパムを受け取ったメールアドレスが

 aaa@hogehoge.com

だとすると、

送信者は

 operator@hogehoge.com

Your Mailboxは当然

 aaa@hogehoge.com

Technical Supportも

 hogehoge.com Technical Support

設定変更しろとアクセスを促される見た目上のURLは、

 http://hogehoge.com/owa/service_directory/settings.php? email=aaa@hogehoge.com&from=hogehoge.com&fromname=aaa

実際にアクセスさせられるURLは、

  http://hogehoge.com.bertdffm.co.uk/owa/service_directory/settings.php? email=aaa@hogehoge.com&from=hogehoge.com&fromname=aaa

このへんはいままでの手法と同じ。

そしてアクセスさせられるサイトはこれ。

「Outlook Web Access」のupdateと見せかける。

ここでマスクしている部分も、このスパムを受信した人のドメインです。徹底してます。

ま、当然ユーザー毎のページが用意されているわけではなく、アクセス際の

 /settings.php?email=aaa@hogehoge.com&from=hogehoge.com&fromname=aaa

の情報を表示しているだけですが。

ここからダウンロードさせられるファイル

 settings-file.exe

の正体は、、、やはりzbot、、、

http://www.virustotal.com/analisis/e212d7e75478fa9ce4a8afbbd2e730a301f17fb2253567b72e00f59bf51a99b8-1255587054

今までのフィッシング的なドメインの利用方法の応用ですね。有名サイトではなく自ドメインとは、、、なのでTargeted URLということで。

まぁ手法は新しくはないのでしょうが使い方次第でなんかとっても有効な手法に思えちゃいました。だんだん洗練されてきてる感じ。

で、このサイトに利用されるドメインですが、これがまた続々と登場してます。

 bertdffm.co.uk
 bertdffo.eu
 bertdffw.co.uk
 bertdffw.eu
 nerrasssp.co.uk
 nerrasssx.co.uk
 oikkkkua.co.uk
 oikkkkuf.co.uk
 oikkkkuf.eu
 oikkkkuh.co.uk
 oikkkkuy.co.uk
 oikkkkuy.eu
 polikka.eu
 polikki.co.uk
 polikko.eu
 polikkp.co.uk
 wsasdec.eu
 wsasdep.eu
 wsasdev.co.uk

あれ?また、このパターン、、、、、やってるのは同じグループですよね。

この辺と⇒「Update for Microsoft Outlook spam継続中」「IRSを騙るスパム

というかOutlook系スパムの新バリエーションですよね。

流行りは「.eu」と「.co.uk」ですね。

ドメインの変更も早いですが、対応も早いのかな?イタチごっこがんばれ。

ありがとうFireFox、色は微妙だけど、、、

[カテゴリ:spam観察日記]

by jyake