ホスティングサービスのftpアカウント情報収集を目的としたフィッシング
Published: 2009/12/05
12/4からZeuS系のspamにこのようなものが多く含まれるようになっています。
いろいろなホスティングサービスからこのようなメールが届きます。
システムメンテナンスに伴いあなたのFTP情報を確認したい。
リンクを踏むとこのようなcPanelの管理用のWHM(Web Hosting Manager)にアクセスします。
WHMにはアクセス認証がかかっているように見えますが、この部分はcPanelのデモサイト(whm.demo.cpanel.net)が使われています。その他の部分にもところどころこのデモサイトが使われているようです。
WHM上ではFTPサーバーとそれに対応したFTP用のusername、passwordの入力が求められます。
入力後は、メールに書かれていたホスティングサービスの正規ページに飛ばされます。この例では50wes.com。典型的なフィッシング手法ですね。
このフィッシングの対象となっているホスティングサービスはいまのところ26サービスあります。ちゃんと調べてないですが、この中のすべてのサービスがWHMやcPanelを使っているわけではないと思いますが、この詐欺行為には関係ないのでしょう。
1und1.info 4shared.com 50webs.com all-inkl.com aruba.it bluehost.com earthlink.com earthlink.net godaddy.com hosteurope.de hostgator.com ixwebhosting.com locaweb.com masterhost.ru masterweb.net mediafire.com mediatemple.net netbenefit.com netfirms.com ovh.net softlayer.com strato.de theplanet.com ucoz.com xlhost.com yahoo.com
誘導されるドメインの使われ方はZeuS系です。
cpanel.1und1.info.tygrhggi.co.uk cpanel.4shared.com.tygkhggi.co.uk cpanel.4shared.com.tygkrggi.me.uk cpanel.4shared.com.tygkrggi.org.uk cpanel.4shared.com.tygrhggi.co.uk cpanel.4shared.com.tygrtggi.org.uk cpanel.50webs.com.tygrhggi.me.uk cpanel.all-inkl.com.tygkhggi.me.uk cpanel.aruba.it.tygkrggi.me.uk cpanel.aruba.it.tygrtggi.org.uk cpanel.bluehost.com.tygkhggi.me.uk cpanel.earthlink.com.tygkrggi.co.uk cpanel.earthlink.com.tygrhggi.co.uk cpanel.earthlink.com.tygsrggi.org.uk cpanel.earthlink.net.tygkhggi.me.uk cpanel.godaddy.com.tygkrggi.org.uk cpanel.godaddy.com.tygrtggi.co.uk cpanel.hosteurope.de.tygsrggi.me.uk cpanel.hostgator.com.tygkrggi.me.uk cpanel.hostgator.com.tygrtggi.co.uk cpanel.ixwebhosting.com.tygsrggi.me.uk cpanel.locaweb.com.br.tygrhggi.me.uk cpanel.locaweb.com.br.tygrhggi.org.uk cpanel.masterhost.ru.tygsrggi.org.uk cpanel.masterweb.net.tygrtggi.me.uk cpanel.mediafire.com.tygkhggi.me.uk cpanel.mediafire.com.tygkrggi.co.uk cpanel.mediafire.com.tygkrggi.me.uk cpanel.mediafire.com.tygkrggi.org.uk cpanel.mediafire.com.tygrhggi.me.uk cpanel.mediafire.com.tygrhggi.org.uk cpanel.mediafire.com.tygrtggi.org.uk cpanel.mediafire.com.tygsrggi.me.uk cpanel.mediafire.com.tygsrggi.org.uk cpanel.mediatemple.net.tygsrggi.org.uk cpanel.netbenefit.com.tygrhggi.me.uk cpanel.netfirms.com.tygkrggi.me.uk cpanel.ovh.net.tygsrggi.org.uk cpanel.softlayer.com.tygkrggi.me.uk cpanel.softlayer.com.tygrhggi.me.uk cpanel.softlayer.com.tygsrggi.me.uk cpanel.softlayer.com.tygsrggi.org.uk cpanel.strato.de.tygrtggi.co.uk cpanel.theplanet.com.tygkhggi.me.uk cpanel.ucoz.com.tygkhggi.me.uk cpanel.ucoz.com.tygkrggi.co.uk cpanel.ucoz.com.tygrhggi.co.uk cpanel.ucoz.com.tygrtggi.me.uk cpanel.ucoz.com.tygsrggi.co.uk cpanel.ucoz.com.tygsrggi.me.uk cpanel.xlhost.com.tygkhggi.me.uk cpanel.yahoo.com.tygkhggi.co.uk cpanel.yahoo.com.tygkhggi.me.uk cpanel.yahoo.com.tygkrggi.me.uk cpanel.yahoo.com.tygrhggi.co.uk cpanel.yahoo.com.tygrtggi.co.uk cpanel.yahoo.com.tygsrggi.me.uk cpanel.yahoo.com.tygsrggi.org.uk
このサイトを構成するボット。日本多い?アジア多い?
79.182.78.208 8511 KG bzq-79-182-78-208.red.bezeqint.net 118.171.140.215 3462 TW 118-171-140-215.dynamic.hinet.net 218.221.195.54 2527 JP pddc336.tokyte00.ap.so-net.ne.jp 201.26.15.91 27699 BR 201-26-15-91.dsl.telesp.net.br 122.218.93.174 17506 JP 122x218x93x174.ap122.ftth.ucom.ne.jp 190.6.231.94 27665 TT NONE 121.96.116.70 6648 PH 121.96.116.70.bti.net.ph 94.129.165.215 47589 KW NONE 190.204.101.9 8048 VE 190-204-101-9.dyn.dsl.cantv.net 121.115.220.4 4713 JP i121-115-220-4.s04.a001.ap.plala.or.jp 112.202.137.132 9299 PH 112.202.137.132.pldt.net 60.47.166.28 4713 JP i60-47-166-28.s04.a020.ap.plala.or.jp 117.194.235.203 9829 IN NONE 119.95.213.2 9299 PH NONE 121.133.112.177 4766 KR NONE
これってZeuSやGumblarで利用する新しい攻撃サイト作成のためのキャンペーンじゃないかと想像は広がります。。。年末、新年向けか、数ヵ月後の攻撃の準備ではないかと。。。
by jyake