cNotes 検索 一覧 カテゴリ

NACHAからのAlertを騙るスパム 2

Published: 2012/02/28

観測日: 2012/2/27〜

通数: 数通〜数十通/day

手法: メール文中に誘導リンク

目的: 誘導先でマルウェアダウンロード

特徴:

  • fromはaol.com
  • ハックされたWordpress系のサイトを利用
  • ダウンロードリンクに「xxxxx.ru:8080」

ACH系のよくあるタイプのバリエーションです。


こんな文面。

subjectはこんな感じ。

 Fwd: Security update for banking accounts.
 Fwd: ACH and Wire transfers disabled.

文面のリンクの例。

リンク先のページ。

ダウンロードリンクは懐かしの「.ru:8080」

ダウンロードされるファイルはこれ。

https://www.virustotal.com/file/4a10d96bc277152eccac1723f5a4f34d798e7a4d2dc20bb835be84cb3ca2b1f4/analysis/1330398730/

(8/43) Cridex?

久しぶりに見る手法も含め昔ながらの手法ではありますが、あいかわらずです。

ただし観測数は非常に少ない。


 oba.trincohindu.sch.lk.
 
 74.209.214.8
 
 NetRange:       74.209.214.0 - 74.209.214.255
 CIDR:           74.209.214.0/24
 OriginAS:       
 NetName:        D393-ASH01-74-209-214-0-24
 NetHandle:      NET-74-209-214-0-1
 Parent:         NET-74-209-192-0-1
 NetType:        Reassigned
 RegDate:        2011-03-15
 Updated:        2011-03-15
 Country:        SG

[カテゴリ:spam観察日記]

by jyake