Bezbedan Balkan
Phishing euprava-gov-rs.org - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-9.html)
+--- Thread: Phishing euprava-gov-rs.org (/thread-662.html)

Phishing euprava-gov-rs.org - 1van - 05-11-2023

Ovo je staro, ali mislim da je vredno spomenuti, izgleda da je postojao lažan sajt euprava.gov.rs, a domen je bio euprava-gov-rs.org.
Izvor (27.7.2022): https://twitter.com/csernikmarton/status/1552237956567601154, arhivirano: https://archive.ph/Ef7pL.

Istražio sam malo dalje i Alien Vault je registrovao ovo kao DGA (domain generation algorithm) domain u periodu od 04.12.2021 do 08.06.2022. Detalji: https://otx.alienvault.com/indicator/domain/euprava-gov-rs.org. IP adresa gde je bio phishing hostovan je 5.9.79.52, zemlja Nemačka, provajder Hetzner.

Ako istražimo dalje videćemo da se na toj IP hostuje (ili se hostovalo pre) još sličnih domena: euprava-gov-rs.org, euprava-gov-rs.top, eupravagov.rs.
Izvor: https://otx.alienvault.com/indicator/ip/5.9.79.52. Arhiviran: euprava-gov-rs.top, https://archive.ph/97v6V.

[Image: attachment.php?aid=894]

Drugi zanimljivi domen koji se spominje je rfza.rs.

Iz WHOIS podataka nisam uspeo da izvučem ništa bitno. Zanimljivo je da ima i .RS domen tj. eupravagov.rs. Postavlja se pitanje kako je neko mogao da registruje takav domen, da li je ukrao nečije podatke ili je našao propust u nekom od registra? Da li su ovo testni, honeypot ili maliciozni domeni?

Zanimljivo je i da VirusTotal (https://www.virustotal.com/gui/url/b43d7fd7a37b55658845ea032484f56facc9bc654486296c0dfaab5384410e1d/details) pokazuje detalje koji otkrivaju da sajt imitira hedere koji se nalaze i na pravom sajtu (x-powered-by: OrchardCore, ASP.NET, dok se server razlikuje).

[Image: attachment.php?aid=893]

Ako neko ima više detalja o ovom slučaju molim Vas podelite.

RE: Phishing euprava-gov-rs.org - 1van - 05-11-2023

Web Archive zapravo ima sačuvanu stranicu: https://web.archive.org/web/20220727132611/https://euprava-gov-rs.org/.

[Image: attachment.php?aid=897]

RE: Phishing euprava-gov-rs.org - iznogud - 05-11-2023

izlistana je i ovde

http://domain.webmasterhome.cn/com/2023-02-11.asp

International Domain Name Expiration and Deletion List | CN Domain Name Expiration and Deletion List