Login

**milos_rs** · (This post was last modified: 11-13-2023, 11:39 AM by milos_rs.)

Ovaj deo za Raiffesisen je sa twittera https://twitter.com/nklmilojevic/status/...5207175309

Ostale kampanje u daljim komentarima

Pretpostavljam da hoće da se dodaju kao dodatni uređaj na online banking, posle čega će da pokradu pare.

Ovo je verovatno povezano sa ovim drugim skorašnjim Raiffeisen phishingom https://bezbedanbalkan.net/thread-371.html a verovatno je i potpuno ista ekipa jer lažni sajt ima istu staru vest na stranici sa starim datumom 30.04.2021

Mejl takođe podseća malo na ovaj phish iz kraja 2022 https://bezbedanbalkan.net/thread-333.html ali ne mora da znači, očigledno je u oba slučaja korišćen neki automatski prevodilac.

mejl koji je stigao, Return-Path: <www-data @ eunethosting.trabajardesdecasamontandocosas .net>

Filename: F-qHTELWkAAFiEq.jpg Size: 103.92 KB 11-11-2023, 08:21 PM

Nema razloga da postoji ovaj poddomen na ovom sajtu ali postoji. Možda je kompromitovan pristup hosting panelu za trabajardesdecasamontandocosas .net i onda dodat poddomen.

Code:
eunethosting.trabajardesdecasamontandocosas.net has address 85.215.35.76 

eunethosting.trabajardesdecasamontandocosas.net mail is handled by 10 eunethosting.trabajardesdecasamontandocosas.net.

link u mejlu je na IPFS-u: bafybeidrhpzwsuzbqwjb5cgpo4k4g35yanxdwnha2r4khd6ke34hse77sy.ipfs.dweb .link

redirektuje ali nije klasičan redirekt nego u sorsu ima:

Code:
<script type="text/javascript">

<!--

document.write(unescape('%3Cobject%20data%3D%22https%3A%2F%2Fmyhosting.sbb.domen.marktshopping.com%2Frs%2F%22%3E%3C%2Fobject%3E'));

//-->

</script>

uz razne pokušaje prevencije analize:

Filename: source.png Size: 188.67 KB 11-11-2023, 08:39 PM

dakle ide na myhosting.sbb.domen.marktshopping .com/rs/

Code:
myhosting.sbb.domen.marktshopping.com has address 34.102.1.2

dalje otvara kao myhosting.sbb.domen.marktshopping .com/rs/auth/login.php

izuzetno dobro kopiran sajt Raiffeisen online bankinga otvara samo sa mobilnih UA:

Filename: ss1.png Size: 265.81 KB 11-11-2023, 08:26 PM

Posle unosa "podataka":

Filename: ss2.png Size: 182.52 KB 11-11-2023, 08:31 PM

zanimljivo mi je da kada unesem SMS code on pošalje ovakav POST na myhosting.sbb.domen.marktshopping .com/rs/auth/action.php :

Code:

ss=9999&ClientLastname=adrian&ClientName=cadem+&[email protected]&SmsSessionID=&step=sms&captcha=

odakle ovo i zašto ne znam, možda neki ostatak od nekog drugog phisha što će možda pomoći da se ovaj phish poveže sa drugima od iste ekipe. Više puta sam probao i svaki put je dodao ove parametre kao post, uz SMS code koji je ovde ss=

SSL sertifikat na sajtu ima dodatni alt name za pay.posta-serbije.marktshopping.com koji na /rs/ otvara isti ovaj Raiffeisen sajt, možda je za poštu neki drugi folder

marktshopping.com je naizgled legitiman sajt iz Saudijske Arabije što može značiti da su im kompromitovali hosting panel i dodali sebi DNS za ove poddomene kao što sumnjam i da se desilo na poddomenu sa kog je poslat mejl.

**milos_rs** · (This post was last modified: 11-13-2023, 12:02 PM by milos_rs.)

Sreća moja naleteo sam na mejlove i povezao ove kampanje

Mejl je stigao sa istog domena i IP adrese kao i Raiffeisen:

Code:
eunethosting.trabajardesdecasamontandocosas.net has address 85.215.35.76

eunethosting.trabajardesdecasamontandocosas.net mail is handled by 10 eunethosting.trabajardesdecasamontandocosas.net.

Ovaj se predstavlja kao SBB:

Filename: sbb11.png Size: 128.32 KB 11-13-2023, 11:41 AM

U mejlu koriste ovo kao SBB logo https://upload.wikimedia.org/wikipedia/c...go.svg.png

prvobitni link je opet IPFS: bafybeiemhfesecrrb2x3tepdrr5x5dwclmywqrby7mucsrrif5btld73nm.ipfs.dweb .link i opet isti način redirekta sa istom "zaštitom" od analize

redirektuje na myhosting.sbb.domen.marktshopping .com/sbb/

isto kao i za raiffaisen:

Code:
myhosting.sbb.domen.marktshopping.com has address 34.102.1.2

Ovde ima neka drugačija zaštita tako da promena UA nije dovoljna, sa desktopa uvek dobijam ovo ili slično u zavisnosti od browsera:

Filename: Screenshot_20231113_123518.png Size: 36.88 KB 11-13-2023, 11:44 AM

Sa mobilnog ipak otvara i tu sam uhvatio skrinšot ali dalju analizu ne mogu sa mobilnog, nisam podešen za tako nešto a vremena nemam sada da se drndam sa tim

Ovde je očigledno u pitanju krađa platnih kartica, uzgred domen za koji je stiglo ovo "obaveštenje" nije ni registrovano na SBB-u

Filename: Screenshot_2023-11-13-12-37-12-90.jpg Size: 697.04 KB 11-13-2023, 11:46 AM

**milos_rs** · (This post was last modified: 11-13-2023, 12:03 PM by milos_rs.)

I treći mejl je za poštu, ovaj put neke razlike:

domen sa kog je stigao mejl je drugačiji, pa i IP adresa:

Code:
info-posta-rs.asie-energetique.com has address 82.165.34.247

info-posta-rs.asie-energetique.com mail is handled by 10 info-posta-rs.asie-energetique.com.

Filename: Screenshot_20231113_122714.png Size: 193.43 KB 11-13-2023, 11:51 AM

u mejlu logo pošte je sa https://pbs.twimg.com/media/F-jpZugXgAAE...=4096x4096

Link je opet IPFS bafybeigurefa4ghbrhfmmstmudpezqm3br4jzya3rm6k6xsvgx7ns5n7em.ipfs .dweb.link

ima isti način redirekta i "zaštite" od analize, a otvara pay.posta-serbije.marktshopping .com/p/

iako je domen drugačiji, IP adresa je istao kao i za ostale kampanje:

Code:
pay.posta-serbije.marktshopping.com has address 34.102.1.2

dakle isti verovatno hakovan hosting ovog marktshopping domena i postavljen poddomen i uperen na IP adresu napadača

Opet ima istu zaštitu kao i SBB phish za otvaranje sa desktopa pa sam samo ugrabio skrinšot glavne stranice sa mobilnog:

Filename: Screenshot_2023-11-13-12-36-19-39.jpg Size: 295.75 KB 11-13-2023, 11:54 AM

**milos_rs** · 11-17-2023, 11:20 AM

Možda je ovo isti akter jer ima sličnosti, ali je i dovoljno različiti. Možda menjaju kampanju kako ih hvataju filteri...

Filename: Screenshot_20231117_121609.png Size: 87.3 KB 11-17-2023, 11:18 AM

myhosting.lavaurfc.fr has address 217.160.210.130
myhosting.lavaurfc.fr mail is handled by 10 myhosting.lavaurfc.fr.

link je bafybeicbvn7kwnlhcd2elcz7xx6znttq5mhbjq3lhqi5ccyah5v5g5gppi.ipfs.dweb .link ali je već suspendovan tako da nisam dalje ništa mogao da iskopam

za sliku SBB logo-a sada koriste https://pbs.twimg.com/media/F_B1WwAXUAA_...name=small

**milos_rs** · (This post was last modified: 11-20-2023, 10:04 AM by milos_rs.)

Za poštu ista priča, opet šalju

Filename: Screenshot_20231120_105938.png Size: 172.26 KB 11-20-2023, 10:00 AM

link je na IPFS bafybeifcbgh2nc7qbjterbgr2rumgzvokv4nt45nmzydlzqwci3lhlqrpe.ipfs.dweb .link

pa otvara isti onaj myhosting.sbb.domain.marktshopping .com/p/

Filename: Screenshot_20231120_110322.png Size: 76.91 KB 11-20-2023, 10:03 AM

**milos_rs** · 11-20-2023, 10:24 AM

Imaju i novi domen za slanje mejlova...

Code:
myhosting.crocsmovers.com has address 217.160.210.107 

myhosting.crocsmovers.com mail is handled by 10 myhosting.crocsmovers.com.

Filename: Screenshot_20231120_110534.png Size: 100.26 KB 11-20-2023, 10:23 AM

link je kao i u prethodnom SBB, i suspendovan je: bafybeicbvn7kwnlhcd2elcz7xx6znttq5mhbjq3lhqi5ccyah5v5g5gppi.ipfs.dweb .link

1van · 11-20-2023, 09:21 PM

Još jedan izvor: https://twitter.com/shkabo_tm/status/172...5310279786

Phishing Domen: https: // bafybeiemhfesecrrb2x3tepdrr5x5dwclmywqrby7mucsrrif5btld73nm . ipfs . dweb . link/

Filename: SBB_Phish_Tv2.jpeg Size: 65.98 KB 11-20-2023, 09:21 PM

**milos_rs** · 12-22-2023, 11:01 AM

Možda nije ista ekipa al ću ih stavim ovde jer je veoma slično sa sve IPFS-om:

stigne mejl sa hakovanog mejl naloga ili hostinga:

Filename: Screenshot_20231222_114910.png Size: 103.36 KB 12-22-2023, 10:52 AM

URL je ipfs.eth.aragon .network/ipfs/bafybeieq2xwiltfmsvnumzwer45xhihs6bahf7ipjek3ecd73rj45ga5wy

Dok IPFS otvara kako god, konačnu stranicu otvara samo preko mobilnog UA.

I to otvara u iframe koristeći javascript i document.write, tako da URL ostaje IPFSov ali u iframe se otvara payment.posta.rs1-package.ttapowerco .com/rs/ :

Filename: Screenshot 2023-12-22 at 11-56-41 URL Decode and Encode - Online.png Size: 55.25 KB 12-22-2023, 10:58 AM

I konačno stranica:

Filename: Screenshot 2023-12-22 at 11-40-10 eBanking.png Size: 176.74 KB 12-22-2023, 10:52 AM

karticu šalje na payment.posta.rs1-package.ttapowerco .com/rs/auth/action.php u form data ima step: "cc" što sam viđao već negde

onda šalje na "verifikaciju" payment.posta.rs1-package.ttapowerco .com/rs/auth/code.php?verification=

Filename: Screenshot 2023-12-22 at 11-45-26 eBanking.png Size: 26.15 KB 12-22-2023, 10:59 AM

onda traži 2fa koji šalje na isti onaj action.php ali u form data ima step: "sms":

Filename: Screenshot 2023-12-22 at 11-42-50 eBanking.png Size: 97.74 KB 12-22-2023, 10:59 AM

onda mi javi da je greška payment.posta.rs1-package.ttapowerco .com/rs/auth/error.php?verification=

Login
Username/Email:
Password:	Lost Password?
	Remember me