Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html) +--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html) +--- Thread: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB (/thread-962.html) |
Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 11-11-2023 Ovaj deo za Raiffesisen je sa twittera https://twitter.com/nklmilojevic/status/1723338605207175309 Ostale kampanje u daljim komentarima Pretpostavljam da hoće da se dodaju kao dodatni uređaj na online banking, posle čega će da pokradu pare. Ovo je verovatno povezano sa ovim drugim skorašnjim Raiffeisen phishingom https://bezbedanbalkan.net/thread-371.html a verovatno je i potpuno ista ekipa jer lažni sajt ima istu staru vest na stranici sa starim datumom 30.04.2021 Mejl takođe podseća malo na ovaj phish iz kraja 2022 https://bezbedanbalkan.net/thread-333.html ali ne mora da znači, očigledno je u oba slučaja korišćen neki automatski prevodilac. mejl koji je stigao, Return-Path: <www-data @ eunethosting.trabajardesdecasamontandocosas .net> Nema razloga da postoji ovaj poddomen na ovom sajtu ali postoji. Možda je kompromitovan pristup hosting panelu za trabajardesdecasamontandocosas .net i onda dodat poddomen. Code: eunethosting.trabajardesdecasamontandocosas.net has address 85.215.35.76 link u mejlu je na IPFS-u: bafybeidrhpzwsuzbqwjb5cgpo4k4g35yanxdwnha2r4khd6ke34hse77sy.ipfs.dweb .link redirektuje ali nije klasičan redirekt nego u sorsu ima: Code: <script type="text/javascript"> uz razne pokušaje prevencije analize: dakle ide na myhosting.sbb.domen.marktshopping .com/rs/ Code: myhosting.sbb.domen.marktshopping.com has address 34.102.1.2 dalje otvara kao myhosting.sbb.domen.marktshopping .com/rs/auth/login.php izuzetno dobro kopiran sajt Raiffeisen online bankinga otvara samo sa mobilnih UA: Posle unosa "podataka": zanimljivo mi je da kada unesem SMS code on pošalje ovakav POST na myhosting.sbb.domen.marktshopping .com/rs/auth/action.php : Code: ss=9999&ClientLastname=adrian&ClientName=cadem+&[email protected]&SmsSessionID=&step=sms&captcha= odakle ovo i zašto ne znam, možda neki ostatak od nekog drugog phisha što će možda pomoći da se ovaj phish poveže sa drugima od iste ekipe. Više puta sam probao i svaki put je dodao ove parametre kao post, uz SMS code koji je ovde ss= SSL sertifikat na sajtu ima dodatni alt name za pay.posta-serbije.marktshopping.com koji na /rs/ otvara isti ovaj Raiffeisen sajt, možda je za poštu neki drugi folder marktshopping.com je naizgled legitiman sajt iz Saudijske Arabije što može značiti da su im kompromitovali hosting panel i dodali sebi DNS za ove poddomene kao što sumnjam i da se desilo na poddomenu sa kog je poslat mejl. RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 11-13-2023 Sreća moja naleteo sam na mejlove i povezao ove kampanje Mejl je stigao sa istog domena i IP adrese kao i Raiffeisen: Code: eunethosting.trabajardesdecasamontandocosas.net has address 85.215.35.76 Ovaj se predstavlja kao SBB: U mejlu koriste ovo kao SBB logo https://upload.wikimedia.org/wikipedia/commons/thumb/3/3a/Serbia_Broadband_Logo.svg/1200px-Serbia_Broadband_Logo.svg.png prvobitni link je opet IPFS: bafybeiemhfesecrrb2x3tepdrr5x5dwclmywqrby7mucsrrif5btld73nm.ipfs.dweb .link i opet isti način redirekta sa istom "zaštitom" od analize redirektuje na myhosting.sbb.domen.marktshopping .com/sbb/ isto kao i za raiffaisen: Code: myhosting.sbb.domen.marktshopping.com has address 34.102.1.2 Ovde ima neka drugačija zaštita tako da promena UA nije dovoljna, sa desktopa uvek dobijam ovo ili slično u zavisnosti od browsera: Sa mobilnog ipak otvara i tu sam uhvatio skrinšot ali dalju analizu ne mogu sa mobilnog, nisam podešen za tako nešto a vremena nemam sada da se drndam sa tim Ovde je očigledno u pitanju krađa platnih kartica, uzgred domen za koji je stiglo ovo "obaveštenje" nije ni registrovano na SBB-u RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 11-13-2023 I treći mejl je za poštu, ovaj put neke razlike: domen sa kog je stigao mejl je drugačiji, pa i IP adresa: Code: info-posta-rs.asie-energetique.com has address 82.165.34.247 u mejlu logo pošte je sa https://pbs.twimg.com/media/F-jpZugXgAAE3WG?format=png&name=4096x4096 Link je opet IPFS bafybeigurefa4ghbrhfmmstmudpezqm3br4jzya3rm6k6xsvgx7ns5n7em.ipfs .dweb.link ima isti način redirekta i "zaštite" od analize, a otvara pay.posta-serbije.marktshopping .com/p/ iako je domen drugačiji, IP adresa je istao kao i za ostale kampanje: Code: pay.posta-serbije.marktshopping.com has address 34.102.1.2 dakle isti verovatno hakovan hosting ovog marktshopping domena i postavljen poddomen i uperen na IP adresu napadača Opet ima istu zaštitu kao i SBB phish za otvaranje sa desktopa pa sam samo ugrabio skrinšot glavne stranice sa mobilnog: RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 11-17-2023 Možda je ovo isti akter jer ima sličnosti, ali je i dovoljno različiti. Možda menjaju kampanju kako ih hvataju filteri... myhosting.lavaurfc.fr has address 217.160.210.130 myhosting.lavaurfc.fr mail is handled by 10 myhosting.lavaurfc.fr. link je bafybeicbvn7kwnlhcd2elcz7xx6znttq5mhbjq3lhqi5ccyah5v5g5gppi.ipfs.dweb .link ali je već suspendovan tako da nisam dalje ništa mogao da iskopam za sliku SBB logo-a sada koriste https://pbs.twimg.com/media/F_B1WwAXUAA_x3E?format=png&name=small RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 11-20-2023 Za poštu ista priča, opet šalju link je na IPFS bafybeifcbgh2nc7qbjterbgr2rumgzvokv4nt45nmzydlzqwci3lhlqrpe.ipfs.dweb .link pa otvara isti onaj myhosting.sbb.domain.marktshopping .com/p/ RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 11-20-2023 Imaju i novi domen za slanje mejlova... Code: myhosting.crocsmovers.com has address 217.160.210.107 link je kao i u prethodnom SBB, i suspendovan je: bafybeicbvn7kwnlhcd2elcz7xx6znttq5mhbjq3lhqi5ccyah5v5g5gppi.ipfs.dweb .link RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - 1van - 11-20-2023 Još jedan izvor: https://twitter.com/shkabo_tm/status/1723293845310279786 Phishing Domen: https: // bafybeiemhfesecrrb2x3tepdrr5x5dwclmywqrby7mucsrrif5btld73nm . ipfs . dweb . link/ RE: Multi-phishing od strane istog aktera: Raiffeisen, Pošta, SBB - milos_rs - 12-22-2023 Možda nije ista ekipa al ću ih stavim ovde jer je veoma slično sa sve IPFS-om: stigne mejl sa hakovanog mejl naloga ili hostinga: URL je ipfs.eth.aragon .network/ipfs/bafybeieq2xwiltfmsvnumzwer45xhihs6bahf7ipjek3ecd73rj45ga5wy Dok IPFS otvara kako god, konačnu stranicu otvara samo preko mobilnog UA. I to otvara u iframe koristeći javascript i document.write, tako da URL ostaje IPFSov ali u iframe se otvara payment.posta.rs1-package.ttapowerco .com/rs/ : I konačno stranica: karticu šalje na payment.posta.rs1-package.ttapowerco .com/rs/auth/action.php u form data ima step: "cc" što sam viđao već negde onda šalje na "verifikaciju" payment.posta.rs1-package.ttapowerco .com/rs/auth/code.php?verification= onda traži 2fa koji šalje na isti onaj action.php ali u form data ima step: "sms": onda mi javi da je greška payment.posta.rs1-package.ttapowerco .com/rs/auth/error.php?verification= |