MAGNITUDE EXPLOIT KIT (ANTERIORMENTE CONHECIDO COMO POPADS) A HAENGINEERING [.] LEADS LÍQUIDAS PARA ZEROACCESS COM UM LADO DE ANTIVÍRUS FALSO

Se o clique através de um link a partir de um motor de busca, script injetado leva a vítima para a página de destino na jmhneglnxkwj.6galvagu [.] Info /? B1683bc84f9d540d55a2501815fd7afe = 20
(Copiar em [ pastebin ] para o seu comentário)

A página de destino contém o código para entregar várias façanhas (alguns foram 404'd com este encontro).

.eot (CVE-2011-3402): [.] jmhneglnxkwj.6galvagu info / 5e2cbeafecc088b47aaf5339d5f5ab87.eot
SWF (não 404 found):jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/19d2e85c7ace592d29ddfe94e09fab18.swf
.html (CVE-2013-2551):jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/6c41af59a6b08e028a913ef34a93a2ec.html
.jnlp (não 404 found):jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/dd48b16d3bc0a1796d5bf79f69d1f2ed.jnlp
.jar:jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/0919e06ba916b6e6b7d3784d6364f69b.jar

Cargas (cargas codificados foram via Java)

5.133.179.188/?5ff70b8bf829919c1a30abb4f9798825
(codificado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 0 [.]
(codificado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 1 [.]
(codificado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 4 [.]
(404 não encontrado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 5 [.]

Interessante para ver o a carga inicial obtida directamente a partir do IP e todos os outros a partir de um nome de domínio. DNS passiva mostram um padrão de domínios suspeitos naquele IP: http://www.bfk.de/bfk_dnslogger.html?query=5.133.179.188#result

GeoIP de j.maxmind.com/app/geoip.js observados logo após a carga inicial foi entregue, seguido pelo tráfego UDP a conhecida ZeroAccess CnC em 85.114.128.127.

Checkins Finalmente um casal com User-Agent falso: Mozilla / 4.0 (compatível; MSIE 6.0; Windows NT 5.1; SV1):

twinkcam [.] net / images / s.php? id = 225
cinnamyn [.] com / images / s.php? id = 225

VT:
5e2cbeafecc088b47aaf5339d5f5ab87.eot:
https://www.virustotal.com/en/file/83b09f673fea53468e2c596568b69174aaa1e271796d3a1668187b54dec2c7e7/analysis/1381055190/

6c41af59a6b08e028a913ef34a93a2ec.html:
https://www.virustotal.com/en/file/cc93040ca9850c970c004dd69d6e3f3115afae4b90d949e3c037940be7094a3c/analysis/1381055274/

0919e06ba916b6e6b7d3784d6364f69b.jar:
https://www.virustotal.com/en/file/a0cde28320cd74beb0b66510be23ca0e7a0ae56d99e14d608558a420ca07c187/analysis/1381055354/

5ff70b8bf829919c1a30abb4f9798825:
https://www.virustotal.com/en/file/4e304bd616a557a7e1de7ef319c9e1fdefe2d1f706357ff649ce6a69411ccbec/analysis/1381055417/

0:
https://www.virustotal.com/en/file/4e304bd616a557a7e1de7ef319c9e1fdefe2d1f706357ff649ce6a69411ccbec/analysis/1381055485/

1:
https://www.virustotal.com/en/file/b48ccbd23e96b9f3be41d739f1ec24360321360dc6e48a5f9d593b9e1c26354f/analysis/1381055642/

4:
https://www.virustotal.com/en/file/800692437ccfe828c546edf536eade0f11494764c8dc5ac6da30cfa94051a02a/analysis/1381055905/

* Relatório URLQuery mostra haengineering líquido também tem sido usado para phishing [.]: Http://urlquery.net/report.php?id=6270677

Contato +554396644491

Tags : adsense, google adsense, adsense login, google adsense login, adsense google, como ganar dinero con google, ganar dinero con google, what is google adsense, google adsense account,google adsense com, what is adsense, como ganar dinero en google, adsense account, como ganar dinero con google adsense, google adsense sign in,

Share this article please, on :

Share on fb Tweet Share on G+

MAGNITUDE EXPLOIT KIT (ANTERIORMENTE CONHECIDO COMO POPADS) A HAENGINEERING [.] LEADS LÍQUIDAS PARA ZEROACCESS COM UM LADO DE ANTIVÍRUS FALSO

0 Response to "MAGNITUDE EXPLOIT KIT (ANTERIORMENTE CONHECIDO COMO POPADS) A HAENGINEERING [.] LEADS LÍQUIDAS PARA ZEROACCESS COM UM LADO DE ANTIVÍRUS FALSO"

Post a Comment