cNotes 検索 一覧 カテゴリ

phplist v2.10.4を利用したスパム

Published: 2008/10/25

最近多く観測されているスパムの一つにこのようなものがあります。

このスパムの目的は、以前から飽きるほど見ている「Canadian Pharmacy」の新しい手法です。

一番下の

 To unsubscribe press here

をクリックすると下のようなサイトに飛ばされます。

このリンク部分は徐々に変化していてここ数日は今の形になっていますが、9月頃は複数のリンクが載せられていることがありましたが結果は同じです。またクリック時のURLもそれらしいURLになってます。

 fireoften.com/remove.php?email=***@***.net&messageid=0233a13165f5
 flowcourse.com/?email=***@***.net&messageid=0986312f3551
 www.pairsure.com/manage.asp?mail=***@***.org&key=873316d36d3546
 www.pairsure.com/privacy.asp?mail=***@***.org&key=673d3ece383d23
 www.pairsure.com/unsubscribe.asp?mail=***@***.org&key=e043953f5333f4
 muchread.com/manage/opt-out?usr=***@***.net&access=5434C397132036092DFB

どれをクリックしても上記のページに飛ぶだけなのですが、URL中に埋め込まれているkeyや自分のメールアドレスは見た目を正しいリクエストに見せかけるだけのものなのか、クリック履歴を通知することも兼ねているのかは不明です。

URLに利用されるドメインの使い方も最近の典型で、観測されているものだけで日に30〜100程度新規のドメイン作られています。また7日から10日でAレコードの登録がなくなり使い捨てられます。一部のドメインは最初から、もしくは一時間未満でAレコードがなくなりますが、これはおとりかもしれません。(ただの失敗かもしれませんが)

使われたドメインの一部です。

 www.fractionharmony.com
 www.untileither.com
 www.trustenough.com
 www.spellresolution.com
 www.mapresolution.com
 www.sentencefraction.com
 www.momentlove.com
 www.protectthree.com
 www.lakefraction.com
 www.hardfresh.com
 www.couragecommon.com
 www.independencelike.com
 www.multiplyend.com
 www.chiefterm.com
 www.aspirationtold.com
 www.pitchshape.com
 www.strengthfly.com
 www.forgivenesslove.com
 www.valueprogress.com
 www.aspirationplural.com
 www.advocacyteeth.com
 advocacytube.com
 dropscale.com
 observereceive.com
 www.catchpopulate.com
 practicemother.com

ドメイン取得は中国のレジストラを数社渡り歩いています。そして取得から1〜3日以内に使用開始されます。これも最近の典型的パターン。

   Domain Name: FIREOFTEN.COM
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.xinnet.com
   Name Server: DNS1.PLANMEAT.COM
   Name Server: DNS2.PLANMEAT.COM
   Status: ok
   Updated Date: 23-oct-2008
   Creation Date: 23-oct-2008
   Expiration Date: 23-oct-2009

典型的な手法を用いていますがIPアドレスが固定という穴もあります。

58.20.154.161(AS4837)

 inetnum:      58.20.0.0 - 58.20.255.255
 netname:      CNCGROUP-HN
 descr:        CNC Group HuNan province network
 descr:        China Network Communications Group Corporation
 descr:        No.156,Fu-Xing-Men-Nei Street,
 descr:        Beijing 100031
 country:      CN

このIPアドレスは一部のDNSBL、URIBLに登録されていますのでこのリストをURIBLとして利用して文中のURLの正引きをチェックできればブロックできるかもしれません。ただし、酷似している?SQLインジェクションのパターンのようにIPアドレスも短期間で変更なるかもしれません。

またメール的な特徴は表題にも書いた以下のヘッダー部分です。

 X-Mailer: PHPMailer [version 1.73]
 X-Mailer: phplist v2.10.4

Web上で運用できるメーリングリスト管理ソフトなので、これそのものが悪いとは言い切れませんが、管理するメールサーバーのポリシー、量があまりにも多い場合は、このヘッダーを利用してスコアをあげるなりブロックしてしまうなりすることが一番効果的になるかもしれません。

[カテゴリ:spam観察日記]

by jyake