Login

**milos_rs** · 10-18-2023, 07:46 AM

Filename: F8kziI5XAAAzced.png Size: 36.93 KB 10-18-2023, 07:44 AM

source https://twitter.com/agw72718633/status/1...5042678106

navodno poslato na službeni mejl koji nikad nije korišćen

Tražio sam da mi fwd mejl ili da link iz mejla da pogledam dalje

**milos_rs** · (This post was last modified: 10-18-2023, 03:15 PM by milos_rs.)

još jedan...

Filename: F8tsnogWIAA4gkn.jpg Size: 49.57 KB 10-18-2023, 03:14 PM

Plati sada vodi na https[:]//klaipedoshospisas[.]lt/r

Primetićete isti broj za praćenje i isti iznos za plaćanje ko i onaj drugi, ali mejlovi ipak izgledaju drugačije

source https://twitter.com/shkabo_tm/status/171...4044967055

***maxxa*** · (This post was last modified: 10-18-2023, 07:33 PM by maxxa.)

Prosledjen je i meni identican, i na isti link vodi button "плати сада"

Filename: postaPhish.png Size: 58.82 KB 10-18-2023, 07:15 PM

Zanimljivo je sto whereitgoes kaze da redirektuje na google

Filename: whereitgoesPostaklaipeos.png Size: 59.52 KB 10-18-2023, 07:20 PM

Dok je urlquery (koji inace ne detektuje nista maliciozno, kao ni VT ni Scumware) ulovio ovaj screenshot: https://urlquery.net/screenshot/ee286112...1c311ad403

po whois details rekao bih da je validan domen.

Filename: whoisklaipedos.png Size: 46.95 KB 10-18-2023, 07:25 PM

Imaju i svoju FB stranicu, validan je i broj telefona: https://www.imoniunumeriai.lt/37067757891

Ocekujem headere da gledamo dalje.

**milos_rs** · 10-18-2023, 08:12 PM

Pa deluje mi da su verovatno hakovali stranicu te bolnice u litvaniji i tu stavili svoju fejk pošta stranicu, samo što izgleda da ne radi

evo još jedan prijavljuje https://twitter.com/i_popovic/status/171...7375640666

izgleda da je epidemija Smile

***maxxa***

Evo na Decentralinom chatu vidim da je neko primio dva maila, ali dugme plati sada vodi na razlicite sajtove:
hxxp[:]//annakopytek[.]pl/r
hxxp[:]//em-fitness[.]co[.]uk/r

**milos_rs** · (This post was last modified: 10-23-2023, 01:32 PM by milos_rs.)

Uspeo sam da upecam jednog dok je živ, i još je poslat sa www-data @ serbia.opstanak.mycpanel .rs a ovaj domen je u vlasništvu shared hostinga https://eunethosting.com

Filename: Screenshot_20231023_145037.png Size: 163.82 KB 10-23-2023, 12:51 PM

link je klaipedoshospisas .lt/r koji samo redirektuje na serbia-eyuvaxwdboel565966.codeanyapp .com/one/rs/acc/ i još nekim parametrima ali otvara i bez njih, dobija se:

Filename: Screenshot_20231023_145431.png Size: 78.24 KB 10-23-2023, 12:54 PM

Kada se unese "kartica" pošalje je preko request parameters na serbia-eyuvaxwdboel565966.codeanyapp .com/one/rs/index.php i dalje otvara ovo:

Filename: Screenshot 2023-10-23 at 14-57-13 Posta Serbia.png Size: 87.97 KB 10-23-2023, 12:57 PM

kad se unese kod opet ga pošalje na isti link ko gore kao request parameters i kaže Верификациони код је неважећи Tongue

takođe se u toku procesa poziva neki serbia-eyuvaxwdboel565966.codeanyapp .com/one/rs/acc/sms.php

codeanyapp .com mi je zanimljiv mislio sam da je nekakav hosting ali nema ništa na root domenu, IP je 45.55.112.74 Organization: DigitalOcean, LLC (DO-13)

guglao sam i samo sam nailazio na razne prevare vezane za ovaj domen, kao na primer ovo što je sveže od prošle nedelje https://www.info.gov.hk/gia/general/2023...00593p.htm kao i mnoge prevare sa lažnim sajtovima banaka, pošta, DHLa, itd.

UPDATE: Otvorio sam drugi put onaj prvobitni link i sada sam dobio drugačiji redirekt na postserbia-dcoeudpjpbd910945.codeanyapp .com/s/rs/acc/

Prijavio sam na abuse kod EUNET-a, kod DigitalOcean-a i ovoj litvanskoj bolnici koju koriste za redirekt

**milos_rs** · 10-23-2023, 02:24 PM

EUNet se prvi javio za manje od sat vremena, od ostalih sam dobio automatske odgovore...

Filename: mejloabuse.png Size: 28.69 KB 10-23-2023, 02:24 PM

1van · 10-23-2023, 03:32 PM

Hvala Miloše, i bravo za EUNet.

**milos_rs** · (This post was last modified: 10-24-2023, 02:43 PM by milos_rs.)

DO kaže

Quote:Hello,

Thank you for the report. We have notified the appropriate customers.

We appreciate your efforts in helping to clean up the internet!

Regards,
Security Operations Center
DigitalOcean

sajt je još uvek funkcionalan za sada. Inače ovaj codeanyapp domen je verovatno deo https://codeanywhere.com/ i ima abnormalno mnogo phishing sajtova na njemu evo jedan svež od danas OTP Romania phishing https://any.run/report/d0852e151655a8f71...7fcac7ac12

Ne očekujem da će se tu išta promeniti, treba neko da vrši pritisak na codeanywhere da bolje skrinuju klijente, a to je praktično nemoguće. Jedino public name and shame ali morao bih skupiti silne dokaze silnih malicioznih sajtova kod njih i naći pogodno mesto za objavljivanje u nadi da će naići na dovoljnu kritičnu masu da dođe do neke promene.

***maxxa*** · 10-25-2023, 11:48 AM

Stigoše i meni hederi:

---------------------------------------------------------------------------------------------------------------------------------
Return-Path: <[email protected]>
Delivered-To: *************
Received: from tita.superhosting.rs
by tita.superhosting.rs with LMTP
id AL7NHhg/LmXregAA4Pl0Iw
(envelope-from <[email protected]>)
for < ************* >; Tue, 17 Oct 2023 10:00:24 +0200
Return-path: <[email protected]>
Envelope-to: *************
Delivery-date: Tue, 17 Oct 2023 10:00:24 +0200
Received: from ip85-215-50-233.pbiaas.com ([85.215.50.233]:41932 helo=posta.rs.info.sirmzad.rs)
by tita.superhosting.rs with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
(Exim 4.96.1)
(envelope-from <[email protected]>)
id 1qsf10-0001r8-0u
for ************* ;
Tue, 17 Oct 2023 10:00:24 +0200
Received: by posta.rs.info.sirmzad.rs (Postfix, from userid 33)
id A2CAE3F8CA; Tue, 17 Oct 2023 08:00:21 +0000 (UTC)
---------------------------------------------------------------------------------------------------------------------------------

Osim toga, na istu adresu je stigao i jedan malo drugačiji email:

---------------------------------------------------------------------------------------------------------------------------------
Return-Path: <[email protected]>
Delivered-To: **********
Received: from tita.superhosting.rs
by tita.superhosting.rs with LMTP
id eKy8BfExNmVOagAA4Pl0Iw
(envelope-from <[email protected]>)
for < ********** >; Mon, 23 Oct 2023 10:42:25 +0200
Return-path: <[email protected]>
Envelope-to: **********
Delivery-date: Mon, 23 Oct 2023 10:42:25 +0200
Received: from serbia.opstanak.mycpanel.rs ([193.201.188.154]:43738)
by tita.superhosting.rs with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
(Exim 4.96.2)
(envelope-from <[email protected]>)
id 1quqWA-00016s-2Q
for ********** ;
Mon, 23 Oct 2023 10:42:25 +0200
Received: by serbia.opstanak.mycpanel.rs (Postfix, from userid 33)
id D061F65F7D; Mon, 23 Oct 2023 10:37:30 +0200 (CEST)
Date: Mon, 23 Oct 2023 10:36:57 +0200
---------------------------------------------------------------------------------------------------------------------------------

Prvo sam pomislio da je u pitanju ovaj superhsoting, međutim oni filtriraju mailove jer je adresa na koju je stigao tipa info@nestonesto i u pitanju je namenski sajt, tako da je ovo zapravo od hostinga gde je hostovan i sajt i email. Hvala dragoj Dani tw: @DigiTorial_

Login
Username/Email:
Password:	Lost Password?
	Remember me