cNotes 検索 一覧 カテゴリ

VISA DHL FedEx - html添付スパム

Published: 2012/02/29

観測日: 2012/2/27〜

通数: 数通/day

手法: リダイレクト用スクリプトが仕込まれたhtmlファイルを添付

目的: 誘導先でマルウェアダウンロード(と思われる)

特徴:

ダウンロードリンクに「xxxxx.ru:8080」


文面のネタ的にはも似たようものがたくさんありますが、それらのスパム手法を利用して実行される攻撃が最近のものになっているというパターン。

こんな文面(visa)や

こんな文面(DHL)や

こんな文面(FedEx)。

添付ファイ中身。

解読するといつものパターン。

ダウンロードリンクとファイル。

domainpath
ciontooabgooppoa.ru:8080/images/xvbqynbshzircta5.swf
ciontooabgooppoa.ru:8080/images/foalfobripgsd5.jar
ciontooabgooppoa.ru:8080/images/hnyldwdpjnipxz.jar
ciontooabgooppoa.ru:8080/images/jqjwetjtavbva.php

残念ながら検体はダウンロードできませんでした。


攻撃サイトのIPは13個。久々にこの形。

 ciontooabgooppoa.ru has address 95.156.232.102
 ciontooabgooppoa.ru has address 125.19.103.198
 ciontooabgooppoa.ru has address 173.203.51.174
 ciontooabgooppoa.ru has address 184.106.200.65
 ciontooabgooppoa.ru has address 184.106.237.210
 ciontooabgooppoa.ru has address 188.165.253.126
 ciontooabgooppoa.ru has address 190.81.107.70
 ciontooabgooppoa.ru has address 199.204.23.216
 ciontooabgooppoa.ru has address 200.169.13.84
 ciontooabgooppoa.ru has address 209.114.47.158
 ciontooabgooppoa.ru has address 210.56.23.100
 ciontooabgooppoa.ru has address 210.109.108.210
 ciontooabgooppoa.ru has address 50.31.1.105
 ciontooabgooppoa.ru has address 78.83.233.242

IPの所在。

IP逆引きASAS Name
78.83.233.242ns.streambg.net.47366MVN-AS_MVN_Systems_LtdBulgaria
95.156.232.102NONE197071INTERWERK_INTERWERK_-_Rotorfly_Europa_GmbH_&_Co._KGGermany
125.19.103.198NONE9498BBIL-AP_BHARTI_Airtel_Ltd.India
50.31.1.105ip105.50-31-1.static.steadfastdns.net.32748STEADFAST_-_Steadfast_NetworksUnitedStates
190.81.107.70NONE12252Telmex_Peru_S.A.Peru
199.204.23.216snickers.smsmarketeers.com.19181CWIE_-_CWIE_LLCUnitedStates
200.169.13.84arquivo.arkbr.com.br.21574BIS_Brasil_Internet_Service_LtdaBrazil
209.114.47.158209-114-47-158.static.cloud-ips.com.33070RMH-14_-_Rackspace_HostingUnitedStates
210.56.23.100NONE7590COMSATS_Commission_on_Science_and_Technology_forPakistan
210.109.108.210NONE9848GNGAS_Enterprise_NetworksKoreaRepublic
173.203.51.174173-203-51-174.static.cloud-ips.com.19994RACKSPACE_-_Rackspace_HostingUnitedStates
184.106.200.65184-106-200-65.static.cloud-ips.com.19994RACKSPACE_-_Rackspace_HostingUnitedStates
184.106.237.210184-106-237-210.static.cloud-ips.com.19994RACKSPACE_-_Rackspace_HostingUnitedStates
188.165.253.126ns380942.ovh.net.16276OVH_OVH_SystemsFrance

一連の攻撃のバリエーションと思いますが、ちょっとだけ手法が異なる感じ。

[カテゴリ:spam観察日記]

by jyake