cNotes 検索 一覧 カテゴリ

ホスティングサービスのftpアカウント情報収集を目的としたフィッシング

Published: 2009/12/05

12/4からZeuS系のspamにこのようなものが多く含まれるようになっています。

いろいろなホスティングサービスからこのようなメールが届きます。

 システムメンテナンスに伴いあなたのFTP情報を確認したい。

リンクを踏むとこのようなcPanelの管理用のWHM(Web Hosting Manager)にアクセスします。

WHMにはアクセス認証がかかっているように見えますが、この部分はcPanelのデモサイト(whm.demo.cpanel.net)が使われています。その他の部分にもところどころこのデモサイトが使われているようです。

WHM上ではFTPサーバーとそれに対応したFTP用のusername、passwordの入力が求められます。

入力後は、メールに書かれていたホスティングサービスの正規ページに飛ばされます。この例では50wes.com。典型的なフィッシング手法ですね。

このフィッシングの対象となっているホスティングサービスはいまのところ26サービスあります。ちゃんと調べてないですが、この中のすべてのサービスがWHMやcPanelを使っているわけではないと思いますが、この詐欺行為には関係ないのでしょう。

  1und1.info
  4shared.com
  50webs.com
  all-inkl.com
  aruba.it
  bluehost.com
  earthlink.com
  earthlink.net
  godaddy.com
  hosteurope.de
  hostgator.com
  ixwebhosting.com
  locaweb.com
  masterhost.ru
  masterweb.net
  mediafire.com
  mediatemple.net
  netbenefit.com
  netfirms.com
  ovh.net
  softlayer.com
  strato.de
  theplanet.com
  ucoz.com
  xlhost.com
  yahoo.com

誘導されるドメインの使われ方はZeuS系です。

  cpanel.1und1.info.tygrhggi.co.uk
  cpanel.4shared.com.tygkhggi.co.uk
  cpanel.4shared.com.tygkrggi.me.uk
  cpanel.4shared.com.tygkrggi.org.uk
  cpanel.4shared.com.tygrhggi.co.uk
  cpanel.4shared.com.tygrtggi.org.uk
  cpanel.50webs.com.tygrhggi.me.uk
  cpanel.all-inkl.com.tygkhggi.me.uk
  cpanel.aruba.it.tygkrggi.me.uk
  cpanel.aruba.it.tygrtggi.org.uk
  cpanel.bluehost.com.tygkhggi.me.uk
  cpanel.earthlink.com.tygkrggi.co.uk
  cpanel.earthlink.com.tygrhggi.co.uk
  cpanel.earthlink.com.tygsrggi.org.uk
  cpanel.earthlink.net.tygkhggi.me.uk
  cpanel.godaddy.com.tygkrggi.org.uk
  cpanel.godaddy.com.tygrtggi.co.uk
  cpanel.hosteurope.de.tygsrggi.me.uk
  cpanel.hostgator.com.tygkrggi.me.uk
  cpanel.hostgator.com.tygrtggi.co.uk
  cpanel.ixwebhosting.com.tygsrggi.me.uk
  cpanel.locaweb.com.br.tygrhggi.me.uk
  cpanel.locaweb.com.br.tygrhggi.org.uk
  cpanel.masterhost.ru.tygsrggi.org.uk
  cpanel.masterweb.net.tygrtggi.me.uk
  cpanel.mediafire.com.tygkhggi.me.uk
  cpanel.mediafire.com.tygkrggi.co.uk
  cpanel.mediafire.com.tygkrggi.me.uk
  cpanel.mediafire.com.tygkrggi.org.uk
  cpanel.mediafire.com.tygrhggi.me.uk
  cpanel.mediafire.com.tygrhggi.org.uk
  cpanel.mediafire.com.tygrtggi.org.uk
  cpanel.mediafire.com.tygsrggi.me.uk
  cpanel.mediafire.com.tygsrggi.org.uk
  cpanel.mediatemple.net.tygsrggi.org.uk
  cpanel.netbenefit.com.tygrhggi.me.uk
  cpanel.netfirms.com.tygkrggi.me.uk
  cpanel.ovh.net.tygsrggi.org.uk
  cpanel.softlayer.com.tygkrggi.me.uk
  cpanel.softlayer.com.tygrhggi.me.uk
  cpanel.softlayer.com.tygsrggi.me.uk
  cpanel.softlayer.com.tygsrggi.org.uk
  cpanel.strato.de.tygrtggi.co.uk
  cpanel.theplanet.com.tygkhggi.me.uk
  cpanel.ucoz.com.tygkhggi.me.uk
  cpanel.ucoz.com.tygkrggi.co.uk
  cpanel.ucoz.com.tygrhggi.co.uk
  cpanel.ucoz.com.tygrtggi.me.uk
  cpanel.ucoz.com.tygsrggi.co.uk
  cpanel.ucoz.com.tygsrggi.me.uk
  cpanel.xlhost.com.tygkhggi.me.uk
  cpanel.yahoo.com.tygkhggi.co.uk
  cpanel.yahoo.com.tygkhggi.me.uk
  cpanel.yahoo.com.tygkrggi.me.uk
  cpanel.yahoo.com.tygrhggi.co.uk
  cpanel.yahoo.com.tygrtggi.co.uk
  cpanel.yahoo.com.tygsrggi.me.uk
  cpanel.yahoo.com.tygsrggi.org.uk

このサイトを構成するボット。日本多い?アジア多い?

 79.182.78.208   8511  KG bzq-79-182-78-208.red.bezeqint.net      
 118.171.140.215 3462  TW 118-171-140-215.dynamic.hinet.net      
 218.221.195.54  2527  JP pddc336.tokyte00.ap.so-net.ne.jp      
 201.26.15.91    27699 BR 201-26-15-91.dsl.telesp.net.br      
 122.218.93.174  17506 JP 122x218x93x174.ap122.ftth.ucom.ne.jp      
 190.6.231.94    27665 TT NONE       
 121.96.116.70   6648  PH 121.96.116.70.bti.net.ph      
 94.129.165.215  47589 KW NONE      
 190.204.101.9   8048  VE 190-204-101-9.dyn.dsl.cantv.net      
 121.115.220.4   4713  JP i121-115-220-4.s04.a001.ap.plala.or.jp      
 112.202.137.132 9299  PH 112.202.137.132.pldt.net      
 60.47.166.28    4713  JP i60-47-166-28.s04.a020.ap.plala.or.jp      
 117.194.235.203 9829  IN NONE      
 119.95.213.2    9299  PH NONE      
 121.133.112.177 4766  KR NONE    

これってZeuSやGumblarで利用する新しい攻撃サイト作成のためのキャンペーンじゃないかと想像は広がります。。。年末、新年向けか、数ヵ月後の攻撃の準備ではないかと。。。

[カテゴリ:spam観察日記]

by jyake