Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Schuld bij belastingdienst?

15-01-2013, 12:57 door Anoniem, 20 reacties
Vanmorgen in mijn mailbox:
----------------------------------------------------------------------
Geachte heer/mevrouw,

Met spijt delen wij u mede, dat er een fout is opgetreden in de berekening van uw belasting over de voorafgaande belastingperiode.
Uw schuld bedraagt ˆ 1.000,00. U kunt de uitleg bij de berekening raadplegen in het bijgelegde document, of klik hier.
Om een boete te vermijden, wordt u vriendelijk verzocht de belastingschuld zo spoedig mogelijk te betalen.


Met vriendelijke groet,
Ministerie van Financiën
----------------------------------------------------------------------------
De "klik hier" leidt naar: http://balakin-arts.narod.ru/10904.html
Helaas heb ik bij een Whois geen contact info over narod.ru kunnen vinden. Wel dat het domein al sinds 1999 geregistreerd is.
Is er over deze link meer info beschikbaar? Gaat het om een drive by download?

Marcel.
Reacties (20)
15-01-2013, 14:40 door Anoniem
Nee dit heet phishing...niet op de links clicken en deleten dat mailtje...

Het zou wat zijn als de Nederlandse belastingdienst via een russisch domein zou werken ;-)
15-01-2013, 14:51 door SBBo
Wat zou je zelf denken? .ru.....
15-01-2013, 15:45 door Anoniem
Nou, in ieder geval in redelijk correct Nederlands ;-)
15-01-2013, 16:09 door Anoniem
Tja, dat het niet in orde was had ik bij het onderwerp al in de gaten, ik vroeg mij af of jullie wegen hebben te achterhalen wat de scam is. (Ik heb niet op de link geklikt, dus weet ik ook niet wat er voor informatie gevraagd gaat worden, of welke activiteiten die site op mijn PC gaat uitvoeren...)
15-01-2013, 16:23 door golem
Even door urlvoid.com halen en ..
http://urlvoid.com/scan/balakin-arts.narod.ru/

Klikken op More Details..


Threat Types Found 29 ?

JS/Agent
JS/Pakes
JS/Redir

Compromised Pages 287 ?

Show more about threat activity ?

Site Popularity
VERY POPULAR

Server Location
Russian Federation Russian Federation
15-01-2013, 16:27 door yobi
De resultaten van urlquery:
http://urlquery.net/report.php?id=721271
En virustotal:
https://www.virustotal.com/url/95b5ca61a2656c8717b440168d01681ce5dff3a46ef1b8c35bdd020e41246b78/analysis/1358263587/
15-01-2013, 16:40 door yobi
Via ripn.net is vast meer op te vragen. De site is echter meestal in het Russisch.
15-01-2013, 16:44 door Anoniem
Deze site verwijst naar een Blackhole exploit kit waarop geprobeerd wordt om Sinowal/Torpig op je computer te installeren.
15-01-2013, 17:27 door [Account Verwijderd]
[Verwijderd]
15-01-2013, 17:32 door Anoniem
narod.ru is een gratis hoster, (nu?) van yandex. Daar klagen dus.

Verder is het wel handig om de "full headers" van zo'n mailtje te inspecteren.
15-01-2013, 17:36 door 0101
narod.ru is een domein waarop gratis websites worden gehost bij de in Rusland populaire zoekmachine Yandex.

http://translate.google.cm/translate?sl=ru&tl=en&js=n&prev=_t&hl=nl&ie=UTF-8&eotf=1&u=http%3A%2F%2Fnarod.yandex.ru%2F
15-01-2013, 19:43 door Eric-Jan H te D
Heb je het bijgevoegde document geopend? Zo, ja dan kan dit ook al een besmetting hebben veroorzaakt.
Wat was de extensie van het document?
16-01-2013, 10:18 door yobi
Response van de server is wel aardig:
HTTP/1.1 200 OK
Date: Wed, 16 Jan 2013 09:16:48 GMT
Server: ZX_Spectrum/1997 (Sinclair_BASIC)
Connection: close
Content-Type: text/html; charset=windows-1251
16-01-2013, 12:19 door Security Scene Team
Door Anoniem: Deze site verwijst naar een Blackhole exploit kit waarop geprobeerd wordt om Sinowal/Torpig op je computer te installeren.

waar is je bewijs? heb dirbuster laten scannen met de bekende lijst van mappen van Blackhole 2.0 niets daarvan aangetroffen.
Urlquery vond ook geen malicious bestanden.

wat het wel is, is een visser site. ook bekend als 'phishing'

Door 0101: narod.ru is een domein waarop gratis websites worden gehost bij de in Rusland populaire zoekmachine Yandex.

http://translate.google.cm/translate?sl=ru&tl=en&js=n&prev=_t&hl=nl&ie=UTF-8&eotf=1&u=http%3A%2F%2Fnarod.yandex.ru%2F

Ja dat geeft urlquery ook aan, en geen spoor van malware of exploitkit blackhole.
(check at http://urlquery.net) (voor de mensen die willen zien hoe de site eruit zou zien als je hem zou bezoeken, raad ik url query aan, die geeft een screenshot weer, evenals de Scripts die geladen worden als je de site zou bezoeken)

om te verifyeren of het blackhole is kun je makkelijk Dirbuster gebruiken zoals ik gedaan heb, gebruik deze paden in dirbuster en laat 'm daarop scannen / bruten. als die paden overeenkomen heb je temaken met een Blackhole.
zoek daarbij (als je de mogelijkheid hebt) ook naar 'n Shell, omdat het vaak om compromised servers gaat.

autoupdate.php
api.php
l.php
bhstat.php?threadID=22&ruleID=33&key=0c382c13dbaca1490c207a89b61a2c53
bhstat.php?ThreadID=04&data=5744af702a50d95793f9425af1569696
w.php
update.php
bhadmin.php
cron_updatetor.php
cron_update.php
cron_checkdomains.php
cron_check.php
adm.php
master.php
main.php
move_logs.php
content/1fdp.php
content/2fdp.php
content/hcp_asx.php
content/hcp_js.php
content/hcp_vbs.php
content/pch.php
data/ap1.php
data/ap2.php
data/hcp_asx.php
data/hcp_vbs.php
data/hhcp.php
library/browser2.php
library/browser.php
library/db.php
library/errors.php
library/files.php
library/funcs.php
library/js.php
library/lang.php
library/logs.php
library/prefs.php
library/sc.php
library/template.php
library/threadData.php
library/threadDataLoader.php
library/threads.php
library/kcaptcha/index.php
library/kcaptcha/kcaptcha.php
library/kcaptcha/kcaptcha_config.php
library/kcaptcha/util/font_preparer.php
library/templates/pda/addFile.php
library/templates/pda/files.php
library/templates/pda/fileScan2.php
library/templates/pda/fileScan.php
library/templates/pda/login.php
library/templates/pda/prefs.php
library/templates/pda/secur.php
library/templates/pda/threads.php
library/templates/default/addFile.php
library/templates/default/addRule2.php
library/templates/default/addRule3.php
library/templates/default/addRule.php
library/templates/default/addThread.php
library/templates/default/addWidget.php
library/templates/default/adv.php
library/templates/default/files.php
library/templates/default/filesAjax.php
library/templates/default/fileScan2.php
library/templates/default/fileScan.php
library/templates/default/fileStat.php
library/templates/default/login.php
library/templates/default/menu.php
library/templates/default/newWidget.php
library/templates/default/prefs.php
library/templates/default/secur.php
library/templates/default/threads.php
library/templates/default/threadsAjax.php
17-01-2013, 10:25 door Anoniem
Ik lees net dat de Belastingdienst de site al offline heeft laten halen. Toch mooi om te zien dat jullie steeds meer info boven water halen over de site en wat het nu precies voor kwaadaardigs doet.
Ikzelf klik NOOIT op dergelijke links in mails. Inderdaad via de bericht headers (bron tonen) en door boven de link te gaan hangen kun je meteen al zien dat de link naar een plek leidt waar de belastingdienst niet zit of zal gaan hosten ;-)
17-01-2013, 12:43 door Anoniem
Door Security Scene Team:
Door Anoniem: Deze site verwijst naar een Blackhole exploit kit waarop geprobeerd wordt om Sinowal/Torpig op je computer te installeren.

waar is je bewijs? heb dirbuster laten scannen met de bekende lijst van mappen van Blackhole 2.0 niets daarvan aangetroffen.

De genoemde URL verwees naar een zogenaamde landing-page. Hoe deze groep werkt is dat ze je via een Phishing-mail doorverwijzen naar een landingpage voor Blackhole. Deze pagina's doen in de regel niet meer dan een redirect uitvoeren naar de echte Blackhole-pagina. Het feit dat je geen Blackhole hebt gevonden heeft er mee te maken dat deze dus op een andere pagina staat. Landingpages zijn in de regel relatief kort actief, terwijl de Blackhole zelf bij een zogenaamde bulletproofhoster draait.

Als je bekend bent met deze aanval, dan zou je weten dat de Blackhole URL ook een random stuk bevat (verschillend per campaign). Je Dirbuster-lijst werk sowieso niet. Als je analyse wilt doen, dan kan je dat het beste doen binnen 2u na verzenden van de Phinshing-mail. Des te langer je wacht des te groter de kans dat de URL niet meer 'actief' is.
17-01-2013, 12:51 door Anoniem
Door Security Scene Team:
Door Anoniem: Deze site verwijst naar een Blackhole exploit kit waarop geprobeerd wordt om Sinowal/Torpig op je computer te installeren.

waar is je bewijs? heb dirbuster laten scannen met de bekende lijst van mappen van Blackhole 2.0 niets daarvan aangetroffen.

Hij lijkt trouwens nog steeds actief:

$ curl http://balakin-arts.narod.ru/10904.html
<meta http-equiv="refresh" content="0;url='hxxp://95.211.58.101/adfasdfksjdfn/around_film.php'"></meta>
<html><head><title>Please wait...</title></head><body><a href="hxxp://95.211.58.101/adfasdfksjdfn/around_film.php">Please wait...</a></body></body></html></textarea></form>
</title></comment></a>
17-01-2013, 20:25 door Barrymore
Backend server staat al minstens 2 dagen bij Leaseweb te draaien, en is zo te zien nog steeds actief:
http://www.spamhaus.org/sbl/query/SBL172672. Da's niet zo mooi.
18-01-2013, 02:47 door Rene V
https://www.security.nl/artikel/44768/1/Belastingdienst_laat_valse_website_offline_halen.html

staat inmiddels op deze site:)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.