AmericanExpressやChaseBankのフィッシング
Published: 2009/12/06
マルウェア感染目的での利用が多かったZeuS系のドメインが最近は純粋なフィッシングに使われる割合が増えているようです。
これは、観測ポイントの違いによっては異なる状況が見えるという可能性もありますし、ZeuS系のボットネットインフラを利用する顧客=スパマがたまたま今はフィッシング目的のスパマが多いというだけで、来週には変わるかもしれませんが。
1つ目がAmerican Express。これは2008年ごろからある文面そのままですかね。
リンクを踏むとこのようなページ。
2つ目がChase Bank。これはchase.comを騙るスパムから継続しているものです。
フォーマットは「Chase Bank」用になってますが、文面は「American Express」と同じですね。
リンクを踏むとここにつながります。
両方とも典型的なボットを利用したフィッシングです。
ドメインはこのような感じ。
www212.americanexpress.com.yookip.co.uk www212.americanexpress.com.yhwep.me.uk www212.americanexpress.com.yhwei.me.uk www212.americanexpress.com.yookig.org.uk chaseonline.chase.com.ikjili.eu
今現在のボットはこのような感じです。
189.179.6.253 8151 dsl-189-179-6-253-dyn.prod-infinitum.com.mx. 121.114.189.251 4713 i121-114-189-251.s04.a001.ap.plala.or.jp. 200.8.151.187 21826 NONE 190.164.196.220 22047 pc-220-196-164-190.cm.vtr.net. 201.1.4.193 27699 201-1-4-193.dsl.telesp.net.br. 201.232.176.6 13489 cable201-232-176-6.epm.net.co. 190.204.101.9 8048 190-204-101-9.dyn.dsl.cantv.net. 200.6.180.55 13489 residencial-200.6.180.55.costanet.com.co. 189.195.85.123 13999 NONE 210.174.42.109 2527 pae2a6d.tokyte00.ap.so-net.ne.jp. 41.250.15.252 6713 NONE 112.202.145.151 9299 112.202.145.151.pldt.net. 201.160.27.196 28509 201.160.27.196.cable.dyn.cableonline.com.mx. 200.90.170.67 7418 200-90-170-67.static.tie.cl. 189.202.89.95 28545 189.202.89.95.cable.dyn.cableonline.com.mx.
by jyake