image

Overheid waarschuwt voor nep incasso e-mails Nuon

woensdag 7 november 2012, 15:44 door Redactie, 14 reacties

Het Nationaal Cyber Security Center (NCSC) waarschuwt Nederlandse internetgebruikers voor nep incasso e-mails die van een incassobureau afkomstig lijken dat in opdracht van Nuon zegt te handelen. In deze valse e-mails, die van Proquest Incasso afkomstig zouden zijn, worden lezers gewezen op openstaande vorderingen en wordt men gevraagd een link te openen. De link in het bericht wijst naar een virus.

De malware wordt volgens het NCSC nog nauwelijks door virusscanners herkend. "Daarnaast maakt het virus gebruik van het Tor-netwerk waardoor het moeilijk te detecteren is en daarnaast aan te pakken", aldus de overheidsinstantie.

Naast het negeren van de e-mails en niet openen van de links, kunnen beheerders de volgende IP-adressen en url's blokkeren.

  • proquestincasso.com
  • flurtbook.com
  • 188.165.73.251
  • 50.57.203.17
  • 208.53.158.25

Reacties (14)
07-11-2012, 16:11 door Anoniem
Deze mail hebben we vannacht ook 5 keer aangeboden gekregen maar is keurig als spam terzijde geschoven.
Echter, ik vraag me af of de overheid hier echt zo weinig mee kan.
Die site uit de lucht halen dat was vanochtend al gelukt.
En deze mensen zijn al een paar maanden actief, iedere keer met andere verhalen over vorderingen van
zogenaamde curators van failliete bedrijven enzo, ze hebben dus al de nodige sporen nagelaten bij hosters.

Als het de overheid niet lukt dan moeten we misschien het heft in eigen hand nemen en deze inbrekers
de hersens inslaan als we ze in ons huis aantreffen?
(want dat mag van Ivo)
07-11-2012, 16:16 door Anoniem
Ik moet zeggen dat deze mail in beter Nederlands is geschreven dan de andere nep mails die je vaak voorbij ziet komen.
07-11-2012, 16:22 door regenpijp
Voor diegene die analyserapportjes willen bekijken:
http://anubis.iseclab.org/?action=result&task_id=168b83af38c592694a5656c608ba58aee&format=html#idp355568
http://www.threatexpert.com/report.aspx?md5=3caf161d12e776fe4a686edccf5dc9e5

Vanavond eens kijken of er verder wat mee kan.

Er zitten iig wat hardcoded urls in:
hxxp://www.vanderburgbol.nl/site/img/p6.jpg
hxxp://www.kantoorstempels.nl/external/kfm/get.php?id=1912&forcedownload=1
hxxp://flurtbook.com/module/z5.jpg

p6.jpg en z5.jpg zijn de Tor clients die worden binnen gehaald.

Verder lijkt er ook nog het een en ander aan gecodeerde strings in te zitten: http://pastebin.com/3ATCnZKk

Na het starten van het virus (wat eruit ziet als een PDF document, door het logo van acrobat reader en RTLO) krijgt de gebruiker een pop-up met een 'waarschuwing' dat er iets mis is gegaan, waardoor de gebruiker verder geen argwaan zal krijgen als die de executable opent: http://imgur.com/hCT9b

Een scan met Malware Bytes levert niks op, maar HitmanPro detecteert de malware wel.

Onder Start >> All programs >> Startup, staat een snelkoppeling ("Configuration") naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2273\conhostd.exe"
Tor draait via: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1

En eerlijk gezegd zie ik wel een overeenkomst met de KLPD spear phishing aanval via CVE-2012-1723 die toen net uit was, want draai ik dat vorige virus dan vind ik onder Startup een snelkoppeling (MSupdate) naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2272\juschedq.exe"

Het lijkt me dus sowieso wel voor de hand liggend dat beide aanvallen van dezelfde virusschrijvers afkomstig zijn.

- De mappen waarin de malware wordt geplaatst zijn zo goed als identiek.
- In beide gevallen wordt de naam verandert in de naam van een bekend proces + 1 letter (nuon: conhostd.exe, klpd: juschedq.exe)
- In beide gevallen hebben de snelkoppelingen in de Startup folder een naam die afkomstig is van Windows (nuon: Configuration, klpd: MSupdate)
- In beide gevallen Tor hidden services als C&C servers.
- Beide malware exemplaren laten via exact hetzelfde commando op dezelfde poort de Tor client benaderen, namelijk met: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
- In beide gevallen gaat het waarschijnlijk om gehackte websites waarop de malware gehost wordt. (overigens is proquestincasso.com gisteren geregistreerd)
- En beide aanvallen zijn/waren gericht tegen Nederlandse bedrijven, consumenten, etc

Lijken me genoeg overeenkomsten :)

Overigens waarschuwt Nuon zelf ook op hun eigen website voor deze phishing: http://nieuws.nuon.nl/nuon/nepfactuur-over-nuon-in-omloop-betaal-niet

Edit zoveelste:
Overigens haal ik uit de netwerkdump nog een domein: bothbe.org, dit domein is 4 november 2012 geregistreerd en op dit moment niet actief, maar misschien is het een back-up domein.

Om de zoveel tijd wordt er een POST aanvraag verstuurd naar bothbe.org/ct3.php, de data die wordt verzonden is helaas versleuteld.

En nog een url uit de netwerkdump, dit keer via de dns query's: CnnPausing.net, 4 november 2012 geregistreerd en op dit moment draait er nog helemaal niks op.

Kortom de extra websites:
http://www.bothbe.org/ct3.php
http://www.cnnpausing.net/ct3.php

En er kwamen ook nog wat websites voorbij:
"urs.microsoft.com"
"pnrws.skype.com"
"c.brightcove.com"
"codecs.microsoft.com/isapi/ocget"
"activex.microsoft.com/objects/ocget"
"6waves.com/server"
"safebrowsing.clients.google.com"
en als laatste (niet een website): "gateway.messenger/gateway/gateway.dll"

Dus misschien een keylogger ofzoiets?

Geen hardcoded urls van de hidden services helaas, ze worden gegenereert, dus daar kunnen we weinig mee:
http://pastebin.com/Jw8QqcaM
07-11-2012, 18:15 door [Account Verwijderd]
[Verwijderd]
07-11-2012, 19:26 door regenpijp
@ Peter V

het blokkeren achteraf blokkeren van info@proquest.com heeft volgens mij totaal geen zin, ik neem aan dat deze mail niet nog een keer wordt verstuurd, zeker met alle commotie die op internet is ontstaan over deze email. Nergens op klikken is het belangrijkste.
07-11-2012, 19:57 door Anoniem
Klopt die mails komen wel steeds terug maar steeds van een ander adres (wel veelal hetzelfde adres voor de hele run)
en met andere inhoud. Het onderwerp is wel altijd een factuur, en die moet je dan zogenaamd ergens ophalen.

Waar gaat dat analyse verhaal over? Die spullen zitten allemaal niet in de mails die in onze spam quarantaine
staan, daar zitten alleen twee links in (proquestincasso.com) die allebei vanochtend om een uur of 10 al dood waren.

Heb je daarvoor iets kunnen ophalen via die links ofzo? Lijkt me dat er voor mensen die deze mail nu nog lezen
en er iets mee doen geen risico meer is.
08-11-2012, 00:50 door Anoniem
Nog meer links:

hxxp://flurtbook.com/module/f5.jpg
hxxp://flurtbook.com/module/theme/1.gif
hxxp://flurtbook.com/module/theme/2.gif
08-11-2012, 09:46 door Anoniem
M'n mailserver toonde in de spam logfile nog een ander IP-adres:

[07/Nov/2012 00:05:26] Message detected as spam with score: 5.16, threshold 5.00, From: zininshop@MX1.NINE-YARDS.NL, Sender IP: 85.17.213.57, Subject: Openstaande vordering Nuon, Message size: 4911
08-11-2012, 14:09 door Anoniem
Ja dit is het IP adres van de hoster nine-yards.nl waar de website www.zininshop.nl gehost is die deze mensen gekraakt hebben en ingezet voor deze spamrun.
Helaas zijn deze mensen niet responsief. Ik verwacht niet dat ze in actie komen om uit te zoeken wie hier achter zitten.

Zij hebben hun systemen weer bij leaseweb staan. Die doen zowizo niks.

Dus dan houdt het voor ons stervelingen op. Nu zou justitie in actie moeten komen want die kunnen wel naar
binnen bij leaseweb en nine-yards.nl, desnoods met een gerechtelijk bevel.
08-11-2012, 18:42 door Anoniem
Ik heb de link wel geselecteerd, nu werk internet explorer niet meer. Wat kan ik het beste doen?
09-11-2012, 07:55 door Anoniem
Leaseweb heeft mij gisteren nog gevraagd of ik de header van die e-mail naar ze door wilde sturen.
Dus ben benieuwd of ze dan toch nog hier mee verder gaan.

Ik heb ze ook gewezen op de artikel op deze site dat het bekend staat dat er meerdere spam mails verstuurd worden.

Misschien laat Leaseweb na mijn melding hierover dan toch nog wat meer van zich horen.

Als dit zo is dan zet ik het op deze pagina.
19-11-2012, 00:14 door Anoniem
Ik kreeg , na dat Nuon geval, vandaag weer zo iets van Embuste Advocaten in Amsterdam Nooit van gehoord, over een vage openstaande vordering. van enen heer de Vries. Geen verdere gegevens als bedrag, faktuur, geleverde dienst. De enige de Vries meneren die ik ken zijn klanten, dus die betalen mij, ik niet hen. De Advocaat heet P. Kox, Johannes Vermeerstraat 338 Amsterdam heb hem een mailtje teruggestuurd met enkel de woorden Mr. COCK SUCKER zeker. Opletten dus!!
18-12-2012, 11:49 door Anoniem
Ik ben:J.F.Fernandes
Ex:klant van Nuon
Klnr:11286329

Vandaag kreeg ik een brief dat ik moet betaal voor Nuon tot;18-12-12 een bedrag van;72,42 euro's en
met een ander bedrag,die samen zijn:157,60 euro's.Deze bedragen moet ik betaal tot 18-12-2012,maar ik heb vandaag die brief gekregen!...Hoe is dat mogelijk???
Ik probeer Nuon te bellen,maar de telefonen van Nuon werken niet!...

Ik had een contact met Nuon voor langer tijd.Is waar.Nuon heft aan me belooft dat die energie wordt nooit duur,maar naar een tijdje is wel duurder geworden(ongeveer 10 euro p/m)Dus,ben ik naar een ander leverancier en nu zijn ze niet tevreden!?!Ze hebben tegen me gelogen!...

domingo18@hotmail.com
Dit is me email.
18-12-2012, 11:52 door Anoniem
Ik ben:J.F.Fernandes
Ex:klant van Nuon
Klnr:11286329

Vandaag kreeg ik een brief dat ik moet betaal voor Nuon tot;18-12-12 een bedrag van;72,42 euro's en
met een ander bedrag,die samen zijn:157,60 euro's.Deze bedragen moet ik betaal tot 18-12-2012,maar ik heb vandaag die brief gekregen!...Hoe is dat mogelijk???
Ik probeer Nuon te bellen,maar de telefonen van Nuon werken niet!...

Ik had een contact met Nuon voor langer tijd.Is waar.Nuon heft aan me belooft dat die energie wordt nooit duur,maar naar een tijdje is wel duurder geworden(ongeveer 10 euro p/m)Dus,ben ik naar een ander leverancier en nu zijn ze niet tevreden!?!Ze hebben tegen me gelogen!...

domingo18@hotmail.com
Dit is me email.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.