VISA DHL FedEx - html添付スパム
Published: 2012/02/29
観測日: 2012/2/27〜
通数: 数通/day
手法: リダイレクト用スクリプトが仕込まれたhtmlファイルを添付
目的: 誘導先でマルウェアダウンロード(と思われる)
特徴:
ダウンロードリンクに「xxxxx.ru:8080」
文面のネタ的にはも似たようものがたくさんありますが、それらのスパム手法を利用して実行される攻撃が最近のものになっているというパターン。
こんな文面(visa)や
こんな文面(DHL)や
こんな文面(FedEx)。
添付ファイ中身。
解読するといつものパターン。
ダウンロードリンクとファイル。
domain | path |
---|---|
ciontooabgooppoa.ru:8080 | /images/xvbqynbshzircta5.swf |
ciontooabgooppoa.ru:8080 | /images/foalfobripgsd5.jar |
ciontooabgooppoa.ru:8080 | /images/hnyldwdpjnipxz.jar |
ciontooabgooppoa.ru:8080 | /images/jqjwetjtavbva.php |
残念ながら検体はダウンロードできませんでした。
攻撃サイトのIPは13個。久々にこの形。
ciontooabgooppoa.ru has address 95.156.232.102 ciontooabgooppoa.ru has address 125.19.103.198 ciontooabgooppoa.ru has address 173.203.51.174 ciontooabgooppoa.ru has address 184.106.200.65 ciontooabgooppoa.ru has address 184.106.237.210 ciontooabgooppoa.ru has address 188.165.253.126 ciontooabgooppoa.ru has address 190.81.107.70 ciontooabgooppoa.ru has address 199.204.23.216 ciontooabgooppoa.ru has address 200.169.13.84 ciontooabgooppoa.ru has address 209.114.47.158 ciontooabgooppoa.ru has address 210.56.23.100 ciontooabgooppoa.ru has address 210.109.108.210 ciontooabgooppoa.ru has address 50.31.1.105 ciontooabgooppoa.ru has address 78.83.233.242
IPの所在。
IP | 逆引き | AS | AS Name | 国 |
---|---|---|---|---|
78.83.233.242 | ns.streambg.net. | 47366 | MVN-AS_MVN_Systems_Ltd | Bulgaria |
95.156.232.102 | NONE | 197071 | INTERWERK_INTERWERK_-_Rotorfly_Europa_GmbH_&_Co._KG | Germany |
125.19.103.198 | NONE | 9498 | BBIL-AP_BHARTI_Airtel_Ltd. | India |
50.31.1.105 | ip105.50-31-1.static.steadfastdns.net. | 32748 | STEADFAST_-_Steadfast_Networks | UnitedStates |
190.81.107.70 | NONE | 12252 | Telmex_Peru_S.A. | Peru |
199.204.23.216 | snickers.smsmarketeers.com. | 19181 | CWIE_-_CWIE_LLC | UnitedStates |
200.169.13.84 | arquivo.arkbr.com.br. | 21574 | BIS_Brasil_Internet_Service_Ltda | Brazil |
209.114.47.158 | 209-114-47-158.static.cloud-ips.com. | 33070 | RMH-14_-_Rackspace_Hosting | UnitedStates |
210.56.23.100 | NONE | 7590 | COMSATS_Commission_on_Science_and_Technology_for | Pakistan |
210.109.108.210 | NONE | 9848 | GNGAS_Enterprise_Networks | KoreaRepublic |
173.203.51.174 | 173-203-51-174.static.cloud-ips.com. | 19994 | RACKSPACE_-_Rackspace_Hosting | UnitedStates |
184.106.200.65 | 184-106-200-65.static.cloud-ips.com. | 19994 | RACKSPACE_-_Rackspace_Hosting | UnitedStates |
184.106.237.210 | 184-106-237-210.static.cloud-ips.com. | 19994 | RACKSPACE_-_Rackspace_Hosting | UnitedStates |
188.165.253.126 | ns380942.ovh.net. | 16276 | OVH_OVH_Systems | France |
一連の攻撃のバリエーションと思いますが、ちょっとだけ手法が異なる感じ。
by jyake