cNotes 検索 一覧 カテゴリ

AmericanExpressやChaseBankのフィッシング

Published: 2009/12/06

マルウェア感染目的での利用が多かったZeuS系のドメインが最近は純粋なフィッシングに使われる割合が増えているようです。

これは、観測ポイントの違いによっては異なる状況が見えるという可能性もありますし、ZeuS系のボットネットインフラを利用する顧客=スパマがたまたま今はフィッシング目的のスパマが多いというだけで、来週には変わるかもしれませんが。


1つ目がAmerican Express。これは2008年ごろからある文面そのままですかね。

リンクを踏むとこのようなページ。


2つ目がChase Bank。これはchase.comを騙るスパムから継続しているものです。

フォーマットは「Chase Bank」用になってますが、文面は「American Express」と同じですね。

リンクを踏むとここにつながります。

両方とも典型的なボットを利用したフィッシングです。


ドメインはこのような感じ。

 www212.americanexpress.com.yookip.co.uk
 www212.americanexpress.com.yhwep.me.uk
 www212.americanexpress.com.yhwei.me.uk
 www212.americanexpress.com.yookig.org.uk
 chaseonline.chase.com.ikjili.eu

今現在のボットはこのような感じです。

 189.179.6.253   8151  dsl-189-179-6-253-dyn.prod-infinitum.com.mx.
 121.114.189.251 4713  i121-114-189-251.s04.a001.ap.plala.or.jp.
 200.8.151.187   21826 NONE
 190.164.196.220 22047 pc-220-196-164-190.cm.vtr.net.
 201.1.4.193     27699 201-1-4-193.dsl.telesp.net.br.
 201.232.176.6   13489 cable201-232-176-6.epm.net.co.
 190.204.101.9   8048  190-204-101-9.dyn.dsl.cantv.net.
 200.6.180.55    13489 residencial-200.6.180.55.costanet.com.co.
 189.195.85.123  13999 NONE
 210.174.42.109  2527  pae2a6d.tokyte00.ap.so-net.ne.jp.
 41.250.15.252   6713  NONE
 112.202.145.151 9299  112.202.145.151.pldt.net.
 201.160.27.196  28509 201.160.27.196.cable.dyn.cableonline.com.mx.
 200.90.170.67   7418  200-90-170-67.static.tie.cl.
 189.202.89.95   28545 189.202.89.95.cable.dyn.cableonline.com.mx.

[カテゴリ:spam観察日記]

by jyake