Archive for the 'Uncategorized' Category

Page 2 of 6

DDoS attack against abuse.ch

The webserver which is hosting abuse.ch and ZeuS Tracker is currently under high system load due to a ongoing DDoS attack against the blog (abuse.ch). The DDoS has started yesterday 02:00 pm (UTC):

abusech_ddos

The origin seems to be the same as last time (see previous post “DDoS Angriff & Joe Job gegen abuse.ch (german)”). Fact is, that the bots are using the same user agents as during the attack last year:

  • FAST-WebCrawler/3.8 (atw-crawler at fast dot no; http://i.love.teh.cock/support/crawler.asp)
  • Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html
  • Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)
  • Googlebot/2.1 (+http://www.googlebawt.com/bot.html)
  • If we google the user agent above we will find some interesting information about the origin of the DDoS attack:

    “Let’s take a look at yet another bot originating from the Mother Russia. It’s called Illusion, and it has a nice and clear GUI tool for configuration that even an idiot (you could argue that only idiots use malware anyway) can use.”

    Source: MWBlog: “Illusion – Now you see me, now you don’t”

    Currently it seems that the DDoS mitigation was successfull so that abuse.ch is now up and running again (but unfortunately with a high response time because the DDoS attack still goes on). Let’s see what happens in the next few hour/days.

    Stay tuned.

    Erneute phishing Attacke gegen PostFinance

    Knapp eine Woche ist es her, als PostFinance Ziel einer phishing Attacke wurde (Siehe Post vom 28. Dezember 08). Heute Morgen früh, kaum eine Woche später, ist PostFinance erneut im Visier der Kriminellen. Auch heute trudelten wieder mehrere duzend phishing Mails in meinen Honeypots ein. Interessant ist, dass scheinbar zwei verschiedene Varianten der phishing Mails in der Schweiz unterwegs sind:

    Variante 1

    From: confirm@postfinance.ch
    Subject: PostFinance and Western Union awards you!

    PostFinance and Western Union awards you!

    You won 1000 CHF from Western Union. The money will be automatically added to your account balance.
    In order to receive the money you must activate the Western Union online service.

    You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

    GO TO LOGIN PAGE FOR ACTIVATION! (click here)

    After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

    In 24 hours you will receive a confirmation email and we will need to verify your identity.

    After your confirmation you will be automatically subscribed to the PostFinance Raffle Draw for Christmas.
    You can win 50,000 EURO !!

    postfinance09_1

    Variante 2

    From: post@finance.ch
    Subject: PostFinance and Western Union awards you!

    PostFinance and Western Union awards you!

    You won 1500 CHF from Western Union at New Year Raffle Draw. The money will be added to your account balance.

    CLICK HERE to login and complete the process to take possession of money from PostFinance and Western Union.

    ATTENTION: Please allow 5 – 10 minutes for processing. You will receive a confirmation e-mail message with a Challange. Use your reader to generate the code.

    Copyright © 2009 by PostFinance. All rights reserved.

    postfinance09_2

    Nicht nur das Layout der beiden Varianten unterscheidet sich (z.B. das Logo der schweizerischen Post in der Variante 2), sondern auch E-Mail Text und Absender des E-Mails. Die eine Variante trägt confirm@postfinance.ch als Absender während die andere post@finance.ch als Absender an gibt. In beiden Varianten kommt jedoch der Text CLICK HERE vor, welchen wir bereits aus der phishing Attacke von letzter Woche kennen. Hinter dem Text verbirgt sich ebenfalls wieder ein Hyperlink auf eine phishing Webseite. Der Hyperlink in den beiden Varianten verweist jedoch auf unterschiedliche URLs:

    Hyperlink Variante 1

    http://85.197.154.35/js/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html

    Die phishing Webseite liegt hierbei bei einem ISP in Schweden:

    85.197.154.35
    inetnum: 85.197.154.0 – 85.197.155.255
    netname: BIKAB-INFRA-1
    descr: Bredband i Kristianstad AB – Own infrastructure
    country: SE
    Spamhaus SBL status: Not listed

    Hyperlink Variante 2

    http://www.myhammer.cz/

    Der Hyperlink der Variante 2 zeigt auf die Domain myhammer.cz, welche auf einem Server eines tschechischen ISPs gehosted wird:

    myhammer.cz 80.188.190.43
    inetnum: 80.188.0.0 – 80.188.255.255
    org: ORG-STaN1-RIPE
    netname: CZ-CZNET-20020613
    descr: Provider Local Registry
    descr: CESKY TELECOM, A.S.
    country: CZ

    Spamhaus SBL status: Not listed

    Klick mach den Hyperlink an, öffnet sich www.myhammer.cz im Browser wobei der Webserver den Besucher sofort mittels HTTP 302 an eine weitere URL weiterleitet:

    HTTP/1.0 302 Moved Temporarily
    Location: http://0xd5b7aace/e-finance/postfinance.ch/ef/secure/html/login.htm?login&resetlogin&p_spr_cd=4&p_seg=-1?&WT.ac=_deeplink_login_home_efinance_en/

    Die phishing Webseite liegt in diesem Fall auf einem Server einer deutschen Treuhandsgesellschaft, welcher höchstwahrscheinlich von den Kriminellen gekapert wurde:

    213.183.170.20
    inetnum: 213.183.170.16 – 213.183.170.23
    netname: GPP-NET
    descr: GPP Treuhandgesellschaft mbH
    descr: Holler Allee 8
    descr: D-28209 Bremen
    country: DE

    Spamhaus SBL status: Not listed

    Die beiden phishing Webseiten sehen sich ähnlich, sind jedoch nicht die selben:

    Phishing Webseite Variante 1 (85.197.154.35)

    postfinance09_3

    Phishing Webseite Variante 2 (213.183.170.206 via myhammer.cz)

    postfinance09_4

    Wie immer gilt:
    Den Empfängern solcher Phishing-Mails wird dringend abgeraten, auf einen der im E-Mail Text angegebenen Links zu klicken sowie auf keinen Fall die eigenen Zugangsdaten zum E-Banking Account preis zugeben!




    economics-recluse
    Scene
    Urgent!