Bezbedan Balkan Bezbednost privatnih resursa Phishing / Scam / Spam kampanje v
Multi-scam: Pošta, Unicredit Bank, DHL phishing sve sa iste "Bugarske" IP adrese

Threaded Mode
Multi-scam: Pošta, Unicredit Bank, DHL phishing sve sa iste "Bugarske" IP adrese
milos_rs Offline
Administrator
*******
Posts: 953
Threads: 359
Joined: Sep 2022
Reputation: 308
#1
05-12-2024, 09:11 PM (This post was last modified: 05-12-2024, 09:21 PM by milos_rs.)
Neka Zapažanja:

Sajtovi ne podsećaju na druge slične prevare, moguće da je nova ekipa prevaranata u pitanju

Prvi pomen sajtova pronalazim 09.05, sertifikati za dhl i pošta sajt su izdati tog datuma tako da je to verovatno početak ovih sajtova koji ciljaju naše tržište. Doduše unicredit je možda i ranije, 02.05 jer tada je izdat prvi sertifikat.

Ekipa, prevara i domen postoji od najmanje 2024-01-19 kada sam našao sertifikat izdat za kuwaitpost.track-order .online

drugi pronađeni sajtovi od ranijih prevara ove ekipe koje sam našao: dpd.track-order .online, dhlexpress.track-order .online

Sajtovi rade samo sa mobilnog UA

IP Adrese su registrovane u Bugarskoj, firma odgovorna za IP Adresu je navodno u UK, a server se nalazi u Latviji, više o ovome u drugom komentaru...

Prvo sam naleteo na ovaj SMS:

   

Sajt izgleda kao:

   

Code:
posta.track-order.online has address 94.156.79.238

sledeća stranica:

   

i poslednja, za plaćanje:

   

podatke šalje na posta.track-order .online/conn.php

podatke o kartici takođe u isto vreme šalje na posta.track-order .online/newlog.php

i tu puca i vrti kružić i ne ide dalje:

   


Posle pronalaska ovog prvog sajta, prirodna radoznalost mi je proradila i našao sam još sajtova sa iste IP adrese koji takođe ciljaju potencijalne žrtve u Srbiji:

Prvo UniCredit Bank:

domen rs.unicreditbanking.mine .nu

Code:
rs.unicreditbanking.mine.nu is an alias for unicreditbanking.mine.nu.
unicreditbanking.mine.nu has address 94.156.79.238


   

kad se popuni traži neki token i kad se to popuni zablokira se i vrti u nedogled:

   

podatke šalje na rs.unicreditbanking.mine .nu/conn.php

Treće sajt, DHL:

   

domen dhl.track-order .online

Code:
dhl.track-order.online has address 94.156.79.238


pa onda:

   

pa:

   

podatke šalje na dhl.track-order.online/e/authID=vhzHT/payment.php?sessionid=...

pa otvara dhl.track-order.online/e/authID=vhzHT/balance.php?sessionid=...

   

"izvolite recite koliko imate novca čisto da ne trigerujemo neku zaštitu od banke ako pokušamo da povučemo previše":

   

podatke šalje na dhl.track-order .online/conn.php sa type: "newLog"
a iznos koji je izabran na kartici dalje na dhl.track-order .online/newlog.php

i onda dalje vrti u nedogled i ništa se ne dešava kao i na ostalim sajtovima:

   


Još jedna zanimljivost, ako se na primer posta sajt otvori sa desktopa dobije se pokvaren sajt prave pošte ali na prevarantskom sajtu, ovo je verovatno loše konfigurisano sa njihove strane :

   

Ne može da otvori resurse sa zvaničnog poštinog sajta jer CORS ne dozvoljava, zato fale slike na stranici.
Find
Reply
milos_rs Offline
Administrator
*******
Posts: 953
Threads: 359
Joined: Sep 2022
Reputation: 308
#2
05-12-2024, 09:12 PM (This post was last modified: 05-12-2024, 09:24 PM by milos_rs.)
nastavak...

Server ima VestaCP instaliran na sebi, portovi:

Code:
Starting Nmap 7.94 ( https://nmap.org ) at 2024-05-12 21:20 CEST
Nmap scan report for 94.156.79.238
Host is up (0.049s latency).
Not shown: 984 filtered tcp ports (no-response)
PORT      STATE  SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
53/tcp    open  domain
80/tcp    open  http
110/tcp  open  pop3
143/tcp  open  imap
443/tcp  open  https
465/tcp  open  smtps
587/tcp  open  submission
993/tcp  open  imaps
995/tcp  open  pop3s
2525/tcp  open  ms-v-worlds
3306/tcp  open  mysql
5432/tcp  closed postgresql
8083/tcp  open  us-srv
12000/tcp closed cce4x


neki headeri sa portova:

Code:
220 (vsFTPd 3.0.2)
SSH-2.0-OpenSSH_7.4
220 vesta333.local ESMTP Exim 4.97.1 Sun, 12 May 2024 19:26:31 +0000
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN] Dovecot ready.

Firma Silent Connection Ltd. iz UK je navodni registrant IP adresa, firma je registrovana 20.03.2024 (!!!)
https://suite.endole.co.uk/insight/compa...ection-ltd

ASN sa kojeg komuniciraju sve IP adrese je registrovan pod imenom Silent Connection Ltd. i brojem ASN215240, pre manje od dva meseca, 25.03.2024 https://bgp.tools/as/215240

ASN na koji se povezuje je takođe registrovan tada, ASN215208 pod imenom Dolphin 1337 Limited, https://bgp.tools/as/215208

   

IP adrese samo ovog bloka gde je i IP adresa ove prevare imaju gomilu prijavljenih zloupotreba:

   

https://www.abuseipdb.com/check-block/94.156.79.0/24

Spamhaus ima ceo ASN na advisory listi da se ceo sabraćaj može blokirati:

   

https://check.spamhaus.org/listed/?searchterm=AS215240

Ova firma i sve njene IP adrese su verovatno sve maliciozne, neki takozvani bulletproof hosting verovatno stoji iza ovoga.

Količina sranja koja dolazi sa IP adresa ove mreže je ogromna: https://urlscan.io/asn/AS215240

"firma" koja nije ni firma ali ima istu fizičku adresu na sajtu i mrežno se nalazi uzvodno od Silent Connection-a je dolphinhost.net i verovatno je neki front što bi se reklo.

našao sam jedan izuzetno zanimljiv spomen firme i njenih IP adresa na twitteru:

   

Mislim da se zaključak sam nameće, sve što dolazi sa ovog ASN-a se može smatrati malicioznim
Find
Reply
milos_rs Offline
Administrator
*******
Posts: 953
Threads: 359
Joined: Sep 2022
Reputation: 308
#3
05-18-2024, 01:09 PM
ovaj domen me podseća na ovo, mada nemam link ka sajtu na njemu, samo mi je domen sumnjiv:

Code:
uprava-srbija.com has address 185.137.38.33
Find
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)