Analizando un dominio malicioso

Hola!

Muy buenas a todos/as!

En el día de hoy, vamos a analizar un dominio malicioso, y ver como funcionan este tipos de dominios para cometer robos de cuentas de mensajería instantánea, envío de mensajes SPAM, estos fraudes ocurren normalmente por correo electrónico y suelen llevar mensajes llamativos del estilo, “Traidores del MSN” o “Descubre quien te ha eliminado del MSN”

Este tipo de estafas además vienen siempre de la invitación de uno de tus contactos y es, en ese momento cuando para el usuario final es fácil caer en este tipo de estafas.

A nuestro buzón de correo nos puede llegar un correo del tipo:

Este tipo de correos a mi no me suelen causar ninguna confianza…

Si copiamos el contenido del enlace, nos lleva a:

http://zeppelinbv.nl/redir.html?inv=email@hotmail.com

Si observamos la URL le pasa como parámetro la URL del correo desde el que te llego la invitación.

Si nos bajamos el archivo redir.html, esto contiene:

seifreed$ more redir.html\?inv\=email\@hotmail.com<meta http-equiv=”refresh” content=”0;url=http://www.tu-msn.info/index.html”>

Podemos ver que en cuando la víctima visite la página enHTML redir.html será reenviado a tu-msn.info.

Si nos centramos en el primer dominio zeppelinbv.nl, podemos ver el whois asociado al dominio:

whois zeppelinbv.nlDomain name: zeppelinbv.nlStatus: activeRegistrar:Qweb Internet Services B.V.Piet Heinstraat 73115JC SCHIEDAMNetherlandsDomain nameservers:ns1.qweb.nl 217.18.64.241ns1.qweb.nl 2a00:19c0:445:2::2ns2.qweb.nl 217.18.68.241ns2.qweb.nl 2a00:19c0:1255:2::2

Si miramos que servicios tiene asociados

PORT STATE SERVICE REASON21/tcp open ftp syn-ack53/tcp open domain syn-ack80/tcp open http syn-ack110/tcp open pop3 syn-ack143/tcp open imap syn-ack995/tcp closed pop3s conn-refused3306/tcp open mysql syn-ack3389/tcp open ms-term-serv syn-ack

Servicio de email de  base de datos y hasta escritorio remoto!

Este es el servidor que se usa para los emailings y luego otro para cometer el fraude.

Si miramos la web de Robtex sólo nos cataloga 1 como web maliciosa

http://www.robtex.com/dns/zeppelinbv.nl.html?tab=blacklists

Si miramos que directorios tienen en el servidor podemos ver:

http://zeppelinbv.nl/Stats/==> DIRECTORY+ http://zeppelinbv.nl/cgi-bin/==> DIRECTORY+ http://zeppelinbv.nl/cgi-bin/(FOUND: 403 [Forbidden] – Size: 218)+ http://zeppelinbv.nl/images/==> DIRECTORY+ http://zeppelinbv.nl/stats/==> DIRECTORY

Encima que te envían SPAM, generan estadísticas….

Ahora nos dirigimos al otro dominio tu-msn.info

Este dominio es al que el usuario accedería una vez visitado el enlace que llega por correo.

Tiene  varios servicios abiertos

PORT STATE SERVICE REASON22/tcp open ssh syn-ack80/tcp open http syn-ack111/tcp open rpcbind syn-ack

Este dominio además el servidor está alojado en rusia y eso no me da muy buena espina :P

Si introducimos nuestro correo electrónico y el password conectará con Hotmail para enviar un correo a todos nuestros contactos.

Si miramos el whois

Domain ID:D44217103-LRMSDomain Name:TU-MSN.INFOCreated On:23-Nov-2011 13:21:10 UTCLast Updated On:23-Nov-2011 13:24:17 UTCExpiration Date:23-Nov-2012 13:21:10 UTCSponsoring Registrar:Key-Systems GmbH (R124-LRMS)Status:TRANSFER PROHIBITEDStatus:ADDPERIODRegistrant ID:JUM2383034204Registrant Name:Juan Manuel MartinezRegistrant Organization:Registrant Street1:Av. Mayo 217Registrant Street2:Registrant Street3:Registrant City:Capital FederalRegistrant State/Province:Registrant Postal Code:1581Registrant Country:ARRegistrant Phone:+54.91145681112Registrant Phone Ext.:Registrant FAX:Registrant FAX Ext.:Registrant Email:analizadorcontactos@gmail.comAdmin ID:JUM2383034204Admin Name:Juan Manuel MartinezAdmin Organization:Admin Street1:Av. Mayo 217Admin Street2:Admin Street3:Admin City:Capital FederalAdmin State/Province:Admin Postal Code:1581Admin Country:ARAdmin Phone:+54.91145681112Admin Phone Ext.:Admin FAX:Admin FAX Ext.:Admin Email:analizadorcontactos@gmail.comBilling ID:JUM2383034204Billing Name:Juan Manuel MartinezBilling Organization:Billing Street1:Av. Mayo 217Billing Street2:Billing Street3:Billing City:Capital FederalBilling State/Province:Billing Postal Code:1581Billing Country:ARBilling Phone:+54.91145681112Billing Phone Ext.:Billing FAX:Billing FAX Ext.:Billing Email:analizadorcontactos@gmail.comTech ID:JUM2383034204Tech Name:Juan Manuel MartinezTech Organization:Tech Street1:Av. Mayo 217Tech Street2:Tech Street3:Tech City:Capital FederalTech State/Province:Tech Postal Code:1581Tech Country:ARTech Phone:+54.91145681112Tech Phone Ext.:Tech FAX:Tech FAX Ext.:Tech Email:analizadorcontactos@gmail.comName Server:NS3.GRATISDNS.DKName Server:NS2.GRATISDNS.DKName Server:NS1.GRATISDNS.DKName Server:NS4.GRATISDNS.DKName Server:NS5.GRATISDNS.DKName Server:Name Server:Name Server:Name Server:Name Server:Name Server:Name Server:Name Server:

Si buscamos un poco de información este registrador de dominio ha registrado otros dominios para el mismo fin, generando así una red de SPAM muy grande

 

Hemos visto que hay web que, pareciendo legítimas usan nuestros datos para cometer SPAM a nuestros contactos