Se o clique através de um link a partir de um motor de busca, script injetado leva a vítima para a página de destino na jmhneglnxkwj.6galvagu [.] Info /? B1683bc84f9d540d55a2501815fd7afe = 20
(Copiar em [ pastebin ] para o seu comentário)
(Copiar em [ pastebin ] para o seu comentário)
A página de destino contém o código para entregar várias façanhas (alguns foram 404'd com este encontro).
- .eot (CVE-2011-3402): [.] jmhneglnxkwj.6galvagu info / 5e2cbeafecc088b47aaf5339d5f5ab87.eot
- SWF (não 404 found):jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/19d2e85c7ace592d29ddfe94e09fab18.swf
- .html (CVE-2013-2551):jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/6c41af59a6b08e028a913ef34a93a2ec.html
- .jnlp (não 404 found):jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/dd48b16d3bc0a1796d5bf79f69d1f2ed.jnlp
- .jar:jmhneglnxkwj.6galvagu[.]info/0c7266d0e3ac00089fec641d1a083c69/0919e06ba916b6e6b7d3784d6364f69b.jar
Cargas (cargas codificados foram via Java)
- 5.133.179.188/?5ff70b8bf829919c1a30abb4f9798825
- (codificado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 0 [.]
- (codificado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 1 [.]
- (codificado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 4 [.]
- (404 não encontrado): jmhneglnxkwj.6galvagu info / 0c7266d0e3ac00089fec641d1a083c69 / 5 [.]
Interessante para ver o a carga inicial obtida directamente a partir do IP e todos os outros a partir de um nome de domínio. DNS passiva mostram um padrão de domínios suspeitos naquele IP: http://www.bfk.de/bfk_dnslogger.html?query=5.133.179.188#result
GeoIP de j.maxmind.com/app/geoip.js observados logo após a carga inicial foi entregue, seguido pelo tráfego UDP a conhecida ZeroAccess CnC em 85.114.128.127.
Checkins Finalmente um casal com User-Agent falso: Mozilla / 4.0 (compatível; MSIE 6.0; Windows NT 5.1; SV1):
- twinkcam [.] net / images / s.php? id = 225
- cinnamyn [.] com / images / s.php? id = 225
VT:
5e2cbeafecc088b47aaf5339d5f5ab87.eot:
https://www.virustotal.com/en/file/83b09f673fea53468e2c596568b69174aaa1e271796d3a1668187b54dec2c7e7/analysis/1381055190/
5e2cbeafecc088b47aaf5339d5f5ab87.eot:
https://www.virustotal.com/en/file/83b09f673fea53468e2c596568b69174aaa1e271796d3a1668187b54dec2c7e7/analysis/1381055190/
6c41af59a6b08e028a913ef34a93a2ec.html:
https://www.virustotal.com/en/file/cc93040ca9850c970c004dd69d6e3f3115afae4b90d949e3c037940be7094a3c/analysis/1381055274/
https://www.virustotal.com/en/file/cc93040ca9850c970c004dd69d6e3f3115afae4b90d949e3c037940be7094a3c/analysis/1381055274/
0919e06ba916b6e6b7d3784d6364f69b.jar:
https://www.virustotal.com/en/file/a0cde28320cd74beb0b66510be23ca0e7a0ae56d99e14d608558a420ca07c187/analysis/1381055354/
https://www.virustotal.com/en/file/a0cde28320cd74beb0b66510be23ca0e7a0ae56d99e14d608558a420ca07c187/analysis/1381055354/
5ff70b8bf829919c1a30abb4f9798825:
https://www.virustotal.com/en/file/4e304bd616a557a7e1de7ef319c9e1fdefe2d1f706357ff649ce6a69411ccbec/analysis/1381055417/
https://www.virustotal.com/en/file/4e304bd616a557a7e1de7ef319c9e1fdefe2d1f706357ff649ce6a69411ccbec/analysis/1381055417/
* Relatório URLQuery mostra haengineering líquido também tem sido usado para phishing [.]: Http://urlquery.net/report.php?id=6270677
Contato +554396644491
Contato +554396644491
0 Response to "Magnitude Exploit kit (anteriormente conhecido como Popads) a haengineering [.] Leads líquidas para ZeroAccess com um lado de antivírus falso"
Post a Comment
Thank you for visitting here. Please left you relevan comment, in comment-box below.
Thankyou.