Hola!

Muy buenas a todos/as!

En el día de hoy, vamos a analizar un dominio malicioso, y ver como funcionan este tipos de dominios para cometer robos de cuentas de mensajería instantánea, envío de mensajes SPAM, estos fraudes ocurren normalmente por correo electrónico y suelen llevar mensajes llamativos del estilo, “Traidores del MSN” o “Descubre quien te ha eliminado del MSN”

Este tipo de estafas además vienen siempre de la invitación de uno de tus contactos y es, en ese momento cuando para el usuario final es fácil caer en este tipo de estafas.

A nuestro buzón de correo nos puede llegar un correo del tipo:

Este tipo de correos a mi no me suelen causar ninguna confianza…

Si copiamos el contenido del enlace, nos lleva a:

http://zeppelinbv.nl/redir.html?inv=email@hotmail.com

Si observamos la URL le pasa como parámetro la URL del correo desde el que te llego la invitación.

Si nos bajamos el archivo redir.html, esto contiene:

seifreed$ more redir.html\?inv\=email\@hotmail.com
<meta http-equiv=”refresh” content=”0;url=http://www.tu-msn.info/index.html”>

Podemos ver que en cuando la víctima visite la página enHTML redir.html será reenviado a tu-msn.info.

Si nos centramos en el primer dominio zeppelinbv.nl, podemos ver el whois asociado al dominio:

whois zeppelinbv.nl
Domain name: zeppelinbv.nl
Status: active

Registrar:
Qweb Internet Services B.V.
Piet Heinstraat 7
3115JC SCHIEDAM
Netherlands

Domain nameservers:
ns1.qweb.nl 217.18.64.241
ns1.qweb.nl 2a00:19c0:445:2::2
ns2.qweb.nl 217.18.68.241
ns2.qweb.nl 2a00:19c0:1255:2::2

Si miramos que servicios tiene asociados

PORT STATE SERVICE REASON
21/tcp open ftp syn-ack
53/tcp open domain syn-ack
80/tcp open http syn-ack
110/tcp open pop3 syn-ack
143/tcp open imap syn-ack
995/tcp closed pop3s conn-refused
3306/tcp open mysql syn-ack
3389/tcp open ms-term-serv syn-ack

Servicio de email de  base de datos y hasta escritorio remoto!

Este es el servidor que se usa para los emailings y luego otro para cometer el fraude.

Si miramos la web de Robtex sólo nos cataloga 1 como web maliciosa

http://www.robtex.com/dns/zeppelinbv.nl.html?tab=blacklists

Si miramos que directorios tienen en el servidor podemos ver:

http://zeppelinbv.nl/Stats/
==> DIRECTORY
+ http://zeppelinbv.nl/cgi-bin/
==> DIRECTORY
+ http://zeppelinbv.nl/cgi-bin/
(FOUND: 403 [Forbidden] – Size: 218)
+ http://zeppelinbv.nl/images/
==> DIRECTORY
+ http://zeppelinbv.nl/stats/
==> DIRECTORY

Encima que te envían SPAM, generan estadísticas….

Ahora nos dirigimos al otro dominio tu-msn.info

Este dominio es al que el usuario accedería una vez visitado el enlace que llega por correo.

Tiene  varios servicios abiertos

PORT STATE SERVICE REASON
22/tcp open ssh syn-ack
80/tcp open http syn-ack
111/tcp open rpcbind syn-ack

Este dominio además el servidor está alojado en rusia y eso no me da muy buena espina

Si introducimos nuestro correo electrónico y el password conectará con Hotmail para enviar un correo a todos nuestros contactos.

Si miramos el whois

Domain ID:D44217103-LRMS
Domain Name:TU-MSN.INFO
Created On:23-Nov-2011 13:21:10 UTC
Last Updated On:23-Nov-2011 13:24:17 UTC
Expiration Date:23-Nov-2012 13:21:10 UTC
Sponsoring Registrar:Key-Systems GmbH (R124-LRMS)
Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:JUM2383034204
Registrant Name:Juan Manuel Martinez
Registrant Organization:
Registrant Street1:Av. Mayo 217
Registrant Street2:
Registrant Street3:
Registrant City:Capital Federal
Registrant State/Province:
Registrant Postal Code:1581
Registrant Country:AR
Registrant Phone:+54.91145681112
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:analizadorcontactos@gmail.com
Admin ID:JUM2383034204
Admin Name:Juan Manuel Martinez
Admin Organization:
Admin Street1:Av. Mayo 217
Admin Street2:
Admin Street3:
Admin City:Capital Federal
Admin State/Province:
Admin Postal Code:1581
Admin Country:AR
Admin Phone:+54.91145681112
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:analizadorcontactos@gmail.com
Billing ID:JUM2383034204
Billing Name:Juan Manuel Martinez
Billing Organization:
Billing Street1:Av. Mayo 217
Billing Street2:
Billing Street3:
Billing City:Capital Federal
Billing State/Province:
Billing Postal Code:1581
Billing Country:AR
Billing Phone:+54.91145681112
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:analizadorcontactos@gmail.com
Tech ID:JUM2383034204
Tech Name:Juan Manuel Martinez
Tech Organization:
Tech Street1:Av. Mayo 217
Tech Street2:
Tech Street3:
Tech City:Capital Federal
Tech State/Province:
Tech Postal Code:1581
Tech Country:AR
Tech Phone:+54.91145681112
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:analizadorcontactos@gmail.com
Name Server:NS3.GRATISDNS.DK
Name Server:NS2.GRATISDNS.DK
Name Server:NS1.GRATISDNS.DK
Name Server:NS4.GRATISDNS.DK
Name Server:NS5.GRATISDNS.DK
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:

Si buscamos un poco de información este registrador de dominio ha registrado otros dominios para el mismo fin, generando así una red de SPAM muy grande

 

Hemos visto que hay web que, pareciendo legítimas usan nuestros datos para cometer SPAM a nuestros contactos

 

 

a