Vamos iniciar nossa proxima analise, um e-mail com o assunto "Parabéns! Você foi selecionado para participa r da promoção."
De: Promoção Cielo <contato@promocaoparavoce.com>
Realmente escrever certo não é o forte do autor do e-mail ("participa r"), que seja o que importa é que fomos sorteados para participar da promoção vamos ver se ganhamos algo.....
No corpo do e-mail temos o texto "Se você não consegue visualizar essa mensagem por completo, favor clique aqui."... nosso famoso "clique aqui" que nos leva atraves de um link para o endereço
"http://www.lesmeninweb.com/cadastre-se.php"
________________________________________________________________________
wget -c http://www.lesmeninweb.com/cadastre-se.php
--2012-08-18 19:48:15-- http://www.lesmeninweb.com/cadastre-se.php
Resolvendo www.lesmeninweb.com (www.lesmeninweb.com)... 213.186.33.19
Conectando-se a www.lesmeninweb.com (www.lesmeninweb.com)|213.186.33.19|:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 302 Moved Temporarily
Localização: http://200.98.139.185/inscricao.php [redirecionando]
--2012-08-18 19:48:21-- http://200.98.139.185/inscricao.php
Conectando-se a 200.98.139.185:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 200 OK
Tamanho: 2118 (2,1K) [text/html]
Salvando em: “cadastre-se.php”
100%[======================================>] 2.118 --.-K/s em 0s
2012-08-18 19:48:21 (182 MB/s) - “cadastre-se.php” salvo [2118/2118]
_________________________________________________________________________
Aqui obtemos o endereço "213.186.33.19" que faz um redirecionamento 302 para o endereço "http://200.98.139.185/inscricao.php"
opa pode ser conhecidência mas no post "http://hackncrash.blogspot.com.br/2012/08/segue-em-anexo-comprovante-de-deposito.html" um dos endereços envolvidos era "http://200.98.139.149"...
O endereço "213.186.33.19" é de responsabilidade da empresa "Universo Online S.A" aqui obtemos o e-mail para denuciar "novamente" um ip deles e-mail: "security@uol.com.br"
__________________________________________________________________________
inetnum: 200.98/16
aut-num: AS15201
abuse-c: SEO50
owner: Universo Online S.A.
ownerid: 001.109.184/0001-95
responsible: Contato da Entidade UOL
country: BR
owner-c: CAU12
tech-c: CAU12
inetrev: 200.98.128/18
nserver: eliot.uol.com.br
nsstat: 20120817 AA
nslastaa: 20120817
nserver: borges.uol.com.br
nsstat: 20120817 AA
nslastaa: 20120817
created: 20030318
changed: 20040323
nic-hdl-br: SEO50
person: Security Office
e-mail: security@uol.com.br
created: 20021114
changed: 20110830
______________________________________________________________________
Mas e o outro IP, o que faz o redirecionamento....Putz de novo no post "http://hackncrash.blogspot.com.br/2012/08/eu-falei-que-filmariarsrs.html" a empresa http://www.ovh.com tambem teve um de seus endereços utilizados no golpe vamos denunciar denovo "abuse@ovh.net"
______________________________________________________________________
inetnum: 213.186.33.0 - 213.186.33.255
netname: OVH
descr: OVH SAS
descr: Shared Hosting Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered
______________________________________________________________________
Vamos continuar apos o redirecionamento no deparamos com o seguinte site:
Prosseguindo no site temos o seguinte formulário:
Aqui já da pra concluir que se trata de Phishing " http://pt.wikipedia.org/wiki/Phishing" onde se tenta roubar informações de clientes utilizando uma copia de um site "CONFIAVEL"
Vamos fazer um "wget" recursivo obtendo todos os arquivos do endereço "http://200.98.139.185/"
_________________________________________________________________________
~/Malware/BLOG_ANALISE3/200.98.139.185$ ls
cartaoCredito.html ganhadores.php index.php mask.js
css img jquery.js selecioneCartao.php
faleconosco.php index.html loading.html
__________________________________________________________________________
Enfim neste caso terminamos não precisamos analisar executáveis para descobrir do que se trata o golpe é simples e direto.
O que nos resta e denunciar as devidas empresas.
Nenhum comentário:
Postar um comentário