Sa dve različite adrese stigao identičan mejl:
SMTP mail from address [email protected]
SMTP mail from address [email protected]
Sender display name WeTransfer
Subject: [email protected] Добили сте нове датотеке
wetransfer link koji je napisan je samo napisan, link u stvarnosti je ipfs .io/ipfs/bafybeif6efrdksfzqab7qjhamprjqr5kyi3qjhkwzuk7auscpvv6glwnq4/[email protected]
otvara lažnu wetransfer stranicu sa IPFS-a, URL u browseru je ipfsov
Kad se klikne download traži valjda email šifru baš čudan način da to traže na wetransferu ali sigurno se neko i upeca:
email i šifru šalje na healtaa .sbs/loqs/wetr/jeff/one/send.php a taj domen je iza cloudflare-a i registrovan na namecheap-u još 2021. godine i izgleda da se godinama koristi maliciozno
Na domenu destinacije sam malo kopao i našao directory browsing:
izlgeda kao više kampanja hostovanih na tom jednom mestu, svaki folder ima subfoldere tipa "one", "two", "six" i tako dalje, ne mogu se listovati dalje od toga, evo jedan primer:
Ova trenutna je verovatno globalna kampanja, a mejl automatski prevođen na srpski zbog .rs domena, sigurno šalje i na druge jezika i na druge mejlove i domene i tako pokušava da malo personalizuje
SMTP mail from address [email protected]
SMTP mail from address [email protected]
Sender display name WeTransfer
Subject: [email protected] Добили сте нове датотеке
wetransfer link koji je napisan je samo napisan, link u stvarnosti je ipfs .io/ipfs/bafybeif6efrdksfzqab7qjhamprjqr5kyi3qjhkwzuk7auscpvv6glwnq4/[email protected]
otvara lažnu wetransfer stranicu sa IPFS-a, URL u browseru je ipfsov
Kad se klikne download traži valjda email šifru baš čudan način da to traže na wetransferu ali sigurno se neko i upeca:
email i šifru šalje na healtaa .sbs/loqs/wetr/jeff/one/send.php a taj domen je iza cloudflare-a i registrovan na namecheap-u još 2021. godine i izgleda da se godinama koristi maliciozno
Code:
Domain Name: HEALTAA.SBS
Registry Domain ID: D258139809-CNIC
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: https://namecheap.com
Updated Date: 2023-11-13T16:38:52.0Z
Creation Date: 2021-11-07T08:35:38.0Z
Registry Expiry Date: 2024-11-07T23:59:59.0Z
Registrar: Namecheap
Na domenu destinacije sam malo kopao i našao directory browsing:
izlgeda kao više kampanja hostovanih na tom jednom mestu, svaki folder ima subfoldere tipa "one", "two", "six" i tako dalje, ne mogu se listovati dalje od toga, evo jedan primer:
Ova trenutna je verovatno globalna kampanja, a mejl automatski prevođen na srpski zbog .rs domena, sigurno šalje i na druge jezika i na druge mejlove i domene i tako pokušava da malo personalizuje