スパムで利用されるTargetted URLの応用
Published: 2009/10/15
14日からたくさん届くようになりました。
これはうまいですね、ひっかかるかも。
メールサーバーの管理者から、
「メールサービスのセキュリティアップグレードをしたのであなたのメールボックスの設定の変更してね」
というメールが届きます。
そして、文中の関連する情報がすべてメール受信者のメールアドレスのドメインになってます。
マスクしちゃってますが、このスパムを受け取ったメールアドレスが
aaa@hogehoge.com
だとすると、
送信者は
operator@hogehoge.com
Your Mailboxは当然
aaa@hogehoge.com
Technical Supportも
hogehoge.com Technical Support
設定変更しろとアクセスを促される見た目上のURLは、
http://hogehoge.com/owa/service_directory/settings.php? email=aaa@hogehoge.com&from=hogehoge.com&fromname=aaa
実際にアクセスさせられるURLは、
http://hogehoge.com.bertdffm.co.uk/owa/service_directory/settings.php? email=aaa@hogehoge.com&from=hogehoge.com&fromname=aaa
このへんはいままでの手法と同じ。
そしてアクセスさせられるサイトはこれ。
「Outlook Web Access」のupdateと見せかける。
ここでマスクしている部分も、このスパムを受信した人のドメインです。徹底してます。
ま、当然ユーザー毎のページが用意されているわけではなく、アクセス際の
/settings.php?email=aaa@hogehoge.com&from=hogehoge.com&fromname=aaa
の情報を表示しているだけですが。
ここからダウンロードさせられるファイル
settings-file.exe
の正体は、、、やはりzbot、、、
今までのフィッシング的なドメインの利用方法の応用ですね。有名サイトではなく自ドメインとは、、、なのでTargeted URLということで。
まぁ手法は新しくはないのでしょうが使い方次第でなんかとっても有効な手法に思えちゃいました。だんだん洗練されてきてる感じ。
で、このサイトに利用されるドメインですが、これがまた続々と登場してます。
bertdffm.co.uk bertdffo.eu bertdffw.co.uk bertdffw.eu nerrasssp.co.uk nerrasssx.co.uk oikkkkua.co.uk oikkkkuf.co.uk oikkkkuf.eu oikkkkuh.co.uk oikkkkuy.co.uk oikkkkuy.eu polikka.eu polikki.co.uk polikko.eu polikkp.co.uk wsasdec.eu wsasdep.eu wsasdev.co.uk
あれ?また、このパターン、、、、、やってるのは同じグループですよね。
この辺と⇒「Update for Microsoft Outlook spam継続中」「IRSを騙るスパム」
というかOutlook系スパムの新バリエーションですよね。
流行りは「.eu」と「.co.uk」ですね。
ドメインの変更も早いですが、対応も早いのかな?イタチごっこがんばれ。
ありがとうFireFox、色は微妙だけど、、、
by jyake