ABM AMROを騙るオランダ語スパム - indexx.html
Published: 2012/10/11
観測日: 2012/10/09
通数: 50通/day
手法: 誘導URL型
目的: マルウェア感染
BHEK2関連もバリエーションが増え続けていますが、その中で若干今までとは特徴が変わったものの例です。
特定の国を狙った?ためかオランダ語のメールで通数も少なめです。
ABM AMROはオランダの会社なのでオランダ語の文面。
意味的には、
「オンラインバンクで不正な支払いがあったのでアカウントをロックした。ロックを解除するためには、リンクにアクセスして確認してください。」
いつもの文面ですね。
文中のURL(改竄サイトに設置されるファイル名)の特徴が
indexx.html
そこからこうリダイレクトしていきます。
http://akpaavm.com/indexx.html ↓ http://66.246.72.23/links/around_film.php
あいかわらず本体サイトは短命。。。
リダイレクタ設置に利用されるサイトもトルコのサービスメインでにいままでとはちょっと傾向が違います。
domain | ip | 逆引き | AS | AS Name | Country |
---|---|---|---|---|---|
baki-alper.co.cc | 10.10.10.10 | NONE | NONE | ||
phoenixkuafor.com | 5.2.82.32 | server.indexhaber.com. | 3188 | ALASTYR_Alastyr_Telekomunikasyon_Internet_Bilgisayar_Hizmetleri_Sanayi_Ticaret_Limited_Sirketi | Turkey |
www.tuerknews.de | 81.169.145.90 | w8a.rzone.de. | 6724 | STRATO_STRATO_AG | Germany |
onlinealisverissiteniz.com | 213.142.138.217 | 213-142-138-217.reverse.adeox.com. | 16265 | LEASEWEB_LeaseWeb_B.V. | Turkey |
miragelabs.info | 195.191.24.201 | win1.fastbighost.net. | 21219 | DATAGROUP_PRIVATE_JOINT_STOCK_COMPANY__DATAGROUP_ | Ukraine |
boatoperatorcard.ca | 184.168.152.51 | p3nw8sh272.shr.prod.phx3.secureserver.net. | 26496 | AS-26496-GO-DADDY-COM-LLC_-_GoDaddy.com_LLC | UnitedStates |
avcioglu.com.tr | 84.51.33.88 | cp2.markum.net. | 34104 | GLOBAL-AS_Global_Iletisim_Hizmetleri_A.S. | Turkey |
dogalakustik.com | 94.73.146.30 | 94-73-146-30.cizgi.net.tr. | 34619 | CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_Sirketi | Turkey |
grupcagriadana.com | 94.73.144.180 | 94-73-144-180.cizgi.net.tr. | 34619 | CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_Sirketi | Turkey |
ismetacun.com | 89.19.29.4 | reseller25.natrohost.com. | 34619 | CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_Sirketi | Turkey |
smartismailer.com | 188.132.215.2 | sh1.smartisinteractive.com. | 42910 | SADECEHOSTING-COM_Hosting_Internet_Hizmetleri_Ltd_Sti | Turkey |
hgm.com.tr | 93.187.205.58 | ns38.dnscini.com. | 43391 | NETDIREKT-TR_Netdirekt_A.S. | Turkey |
oneclickdown.com | 77.223.132.158 | linux2.net-sis.com. | 43391 | NETDIREKT-TR_Netdirekt_A.S. | Turkey |
abyolundaturkiye.com | 85.95.249.195 | cpsrv1.aktasweb.com. | 49467 | INETMAR_INETMAR_Internet_Hizmetleri_Autonomous_System_(izmir) | Turkey |
gulnarmuftulugu.gov.tr | 188.125.169.186 | server.teknobeta.com. | 49632 | DATATELEKOM_Datatelekom_Telekomunikasyon_Hiz._Dis_Tic._Ltd._Sti. | Turkey |
akpaavm.com | 93.89.231.5 | 93-89-231-5.fbs.com.tr. | 51557 | TR-FBS_FBS_BILISIM_COZUMLERI_TIC_LTD_STI. | Cyprus |
burduratarentacar.com | 93.89.231.5 | 93-89-231-5.fbs.com.tr. | 51557 | TR-FBS_FBS_BILISIM_COZUMLERI_TIC_LTD_STI. | Cyprus |
arzuyurter.com | 94.102.0.207 | 207lcpkkv.ni.net.tr. | 51559 | NETINTERNET_Netinternet_Bilgisayar_ve_Telekomunikasyon_San._ve_Tic._Ltd._Sti. | Turkey |
gozde-yapi.com | 95.173.186.107 | 107pw3rrv.ni.net.tr. | 51559 | NETINTERNET_Netinternet_Bilgisayar_ve_Telekomunikasyon_San._ve_Tic._Ltd._Sti. | Turkey |
portaltest.sitewebadam.com | 94.102.3.10 | cpanel2.webadam.com. | 51559 | NETINTERNET_Netinternet_Bilgisayar_ve_Telekomunikasyon_San._ve_Tic._Ltd._Sti. | Turkey |
二段目はUSです。
IP | 逆引き | AS | AS Name | Country | |
---|---|---|---|---|---|
66.246.72.23 | 220891.ds.nac.net. | 8001 | NET-ACCESS-CORP_-_Net_Access_Corporation | UnitedStates |
これ以降はすでにアクセス不能でした。。
by jyake