Phishing euprava-gov-rs.org
#1
Ovo je staro, ali mislim da je vredno spomenuti, izgleda da je postojao lažan sajt euprava.gov.rs, a domen je bio euprava-gov-rs.org.
Izvor (27.7.2022): https://twitter.com/csernikmarton/status...6567601154, arhivirano: https://archive.ph/Ef7pL.

Istražio sam malo dalje i Alien Vault je registrovao ovo kao DGA (domain generation algorithm) domain u periodu od 04.12.2021 do 08.06.2022. Detalji: https://otx.alienvault.com/indicator/dom...gov-rs.org. IP adresa gde je bio phishing hostovan je 5.9.79.52, zemlja Nemačka, provajder Hetzner.

Ako istražimo dalje videćemo da se na toj IP hostuje (ili se hostovalo pre) još sličnih domena: euprava-gov-rs.org, euprava-gov-rs.top, eupravagov.rs.
Izvor: https://otx.alienvault.com/indicator/ip/5.9.79.52. Arhiviran: euprava-gov-rs.top, https://archive.ph/97v6V.

[Image: attachment.php?aid=894]

Drugi zanimljivi domen koji se spominje je rfza.rs.

Iz WHOIS podataka nisam uspeo da izvučem ništa bitno. Zanimljivo je da ima i .RS domen tj. eupravagov.rs. Postavlja se pitanje kako je neko mogao da registruje takav domen, da li je ukrao nečije podatke ili je našao propust u nekom od registra? Da li su ovo testni, honeypot ili maliciozni domeni?

Zanimljivo je i da VirusTotal (https://www.virustotal.com/gui/url/b43d7...1d/details) pokazuje detalje koji otkrivaju da sajt imitira hedere koji se nalaze i na pravom sajtu (x-powered-by: OrchardCore, ASP.NET, dok se server razlikuje).

[Image: attachment.php?aid=893]

Ako neko ima više detalja o ovom slučaju molim Vas podelite.


Attached Files Image(s)
       
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#2
Web Archive zapravo ima sačuvanu stranicu: https://web.archive.org/web/202207271326...ov-rs.org/.

[Image: attachment.php?aid=897]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#3
izlistana je i ovde

http://domain.webmasterhome.cn/com/2023-02-11.asp

International Domain Name Expiration and Deletion List | CN Domain Name Expiration and Deletion List
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)